comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Nuevo Exploit 0day para Internet Explorer 7, 8, 9 en Windows XP, Vista y 7

  • 1 Respuestas
  • 2314 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado CalebBucker

  • *
  • Underc0der
  • Mensajes: 158
  • Actividad:
    0%
  • Reputación 0
  • Te crees Estrella? Avísame para pedirte un Deseo
    • Ver Perfil
    • [In]Seguridad Informatica
« en: Septiembre 17, 2012, 03:12:46 pm »

Un investigador de seguridad ha encontrado una nueva Vulnerabilidad 0day que afecta a Internet Explorer, mientras que el análisis de una página de malware que se estaba utilizando para explotar las vulnerabilidades de Java. Según el equipo de Metasploit, el Internet Explorer 7, 8 y 9 en Windows XP, Vista y 7 son vulnerables a este ataque.

Eric Romang ha descubierto una carpeta "/public/help" en uno de los servidores infectados. Él encontró un archivo flash (.Swf), dos paginas html (protect.html, exploit.html) y el archivo exe.


Al abrir la página exploit.html, carga el archivo flash, que a su vez carga la otra página HTML (protect.html). Juntos, ayudan a bajar el archivo ejecutable en la computadora de la víctima.

El equipo de Metasploit inmediatamente ha desarrollado el módulo para este exploit. Según los investigadores de Metasploit, el exploit, que ya había sido utilizado por los atacantes maliciosos en la naturaleza antes de que fuera publicado en Metasploit, afecta a alrededor del 41% de los usuarios de Internet en América del Norte y el 32% a nivel mundial.

Desde que Microsoft no ha lanzado un parche para esta vulnerabilidad, sin embargo, se aconseja a  los usuarios de IE cambiar a otro navegador hasta que una actualización de seguridad disponible.

exploit.html
Este archivo se reconoce como un archivo HTML, y  por 0 anti-virus en VirusTotal
https://www.virustotal.com/file/9d66323794d493a1deaab66e36d36a820d814ee4dd50d64cddf039c2a06463a5/analysis/1347710777/

"exploit.html" es el punto de partida del ataque. Este archivo se crea una matriz de "img" y carga  el archivo Flash "Moh2010.swf"



Moh2010.swf
Este archivo es reconocida como una película de Macromedia Flash Player, y por 0 anti-virus en VirusTotal
https://www.virustotal.com/file/70f6a2c2976248221c251d9965ff2313bc0ed0aebb098513d76de6d8396a7125/analysis/1347710461/


Se puede observar que el archivo está lleno de DosSWF que se descomprimira en la memoria. Después de la descompresión "Moh2010.swf" el archivo se derrama en el montón y eval un iframe al archivo "Protect.html".


El código ActionScript incrustado en el original lleno de archivos SWF, también es interesante, podrás ver algunos de codificación especial (chino?).

Este archivo, que durante la explotación es también comprobar si el sitio web está en Flash Website Storage Settings pannel para nada más cargar el archivo "Protect.html". Esto significa, que una vez infectado el usuario ya no será explotado a pesar de nuevas visitas a la página web.

Muestra en la primera visita:


Muestra de la explotación exitosa:


Muestra en otras visitas:


Protect.html
Este archivo se reconoce como un archivo HTML, y  por 0 anti-virus en VirusTotal
https://www.virustotal.com/file/2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265/analysis/1347710701/

Si usted echa un vistazo al código fuente, se puede ver el código javascript interesante, como es la manipulación de la "img" matriz creada por "exploit.html".


También verá que las pruebas se hacen, con destino a Windows XP 32-bit e Internet Explorer 7 u 8.



111.exe
Este archivo se reconoce como un archivo de imagen Autodesk FLIC, y por 0 anti-virus en VirusTotal
https://www.virustotal.com/file/a5a04f661781d48df3cbe81f56ea1daae6ba3301c914723b0bb6369a5d2505d9/analysis/1347710327/

El archivo se ha enviado a Malware Tracker (https://www.malwaretracker.com/docsearch.php?hash=baabd0b871095138269cf2c53b517927), este archivo se ve sospechoso y requiere mas investigaciones.

Si deseamos tener el modulo para explotar esta vulnerabilidad desde el Metasploit, es necesario actualizar la misma desde el siguiente link: https://community.rapid7.com/docs/DOC-1975

La captura de pantalla siguiente se muestra un ataque exitoso contra una máquina de Windows 7 con Internet Explorer 9 instalado:


Está es en contra de Internet Explorer 8 instalado:


He aquí otro ejemplo de la explotación en un Windows XP SP3 box, totalmente parcheado:


El exploit también trabaja en contra de Windows Vista.

Fuentes de Información:

http://calebbucker.blogspot.com/2012/09/nuevo-exploit-0day-para-internet.html (Spanish)

http://www.ehackingnews.com/2012/09/new-zero-day-ie-exploit-metasploit-module.html

https://community.rapid7.com/community/metasploit/blog/2012/09/17/lets-start-the-week-with-a-new-internet-explorer-0-day-in-metasploit

http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/

Saludos.
« Última modificación: Noviembre 23, 2014, 01:13:17 pm por Expermicid »

Desconectado Slore

  • *
  • Underc0der
  • Mensajes: 172
  • Actividad:
    0%
  • Reputación 0
  • OrwaySoftware
    • Ver Perfil
    • Email
  • Skype: OrwaySoftware
« Respuesta #1 en: Septiembre 17, 2012, 04:49:25 pm »
Informacion interesante :P  :o

 

¿Te gustó el post? COMPARTILO!



Gcat - Python Backdoor Usando Gmail para Mando y Control

Iniciado por R3v0lve

Respuestas: 2
Vistas: 3999
Último mensaje Noviembre 18, 2015, 08:52:40 pm
por Stuxnet
Routerpwn, un framework para explotar dispositivos embebidos desde tu celular

Iniciado por hkm

Respuestas: 2
Vistas: 2095
Último mensaje Agosto 01, 2011, 11:45:43 pm
por JaAViEr
SAPYTO – Framework para realizar Penetration Tests sobre sistemas SAP

Iniciado por ZanGetsu

Respuestas: 1
Vistas: 1668
Último mensaje Mayo 20, 2013, 08:49:26 pm
por D4rkC0d3r
Tool para sacar Todos! los archivos de configuracion de un servidor

Iniciado por ANTRAX

Respuestas: 3
Vistas: 2737
Último mensaje Agosto 30, 2012, 01:28:32 pm
por hdbreaker
WAppEx suite para auditar aplicaciones web, de los creadores de Havij

Iniciado por Aryenal.Bt

Respuestas: 5
Vistas: 3763
Último mensaje Agosto 01, 2012, 11:53:04 am
por عя ҜΔŁĬ