Nuevo vulnerabilidad para todos los windows
4 participantes
Página 1 de 2.
Página 1 de 2. • 1, 2
Nuevo vulnerabilidad para todos los windows
Leo en DragonJar:
Vía: http://comunidad.dragonjar.org/f150/nueva-vulnerabilidad-en-todos-los-windows-10307/
Aquí tenemos un análisis profundo: http://www.sinfocol.org/2010/07/analisis-vulnerabilidad-cve-2010-2568/
Y aquí como explotarlo con metasploit: http://www.kungfoosion.com/2010/07/explotando-lnk-con-metasploit.html
A ver si puedo realizar algunas pruebas y os digo!
Se hace público el exploit de la última (y grave) vulnerabilidad en Windows
---------------------------------------------------------------------------
El pasado 16 de julio publicábamos una noticia sobre una "interesante"
vulnerabilidad en Windows que estaba siendo aprovechada por un peligroso
troyano. El peor de los escenarios se presenta ahora para Microsoft,
puesto que se han hecho públicos todos los detalles para aprovechar el
fallo y, por tanto, se espera que aparezcan nuevos troyanos aprovechando
una peligrosa vulnerabilidad para la que todavía no hay parche.
Informábamos hace algunos días de una forma totalmente nueva de ejecutar
código en Windows cuando se inserta un dispositivo extraíble,
independientemente de que se hayan tomado todas las medidas oportunas
conocidas hasta el momento para impedirlo. El fallo se aprovecha a
través de archivos LNK (accesos directos) y supone un duro varapalo para
Microsoft, pues los atacantes han conseguido descubrir la manera de
eludir todas las medidas que se han tomado contra la ejecución
automática en Windows.
Escribíamos entonces que "Tarde o temprano los detalles técnicos sobre
la vulnerabilidad en accesos directos saldrán a la luz, y todo tipo de
malware comenzará a usar este nuevo método para propagarse por llaves
USB". Ha sido más temprano que tarde, puesto que ya se han hecho
públicos todos los detalles y la posibilidad de aprovechar el fallo está
al alcance de cualquiera. La situación es, por tanto, muy grave.
Se espera pues un incremento de malware que se propague por dispositivos
extraíbles puesto que en estos momentos (y hasta que Microsoft saque un
parche), todos los Windows, independientemente de que esté actualizados
y bien configurados, podrían llegar a ejecutar un fichero de forma
"silenciosa" si se inserta un dispositivo extraíble como una llave USB.
Por ahora, la única forma de que la vulnerabilidad no funcione es
realizando el siguiente cambio (aunque se perderá funcionalidad, por lo
que es conveniente realizar una copia de seguridad para restaurar el
valor cuando el problema esté solucionado):
* Poner en blanco el valor predeterminado (default) de la rama del
registro:
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
* Detener y deshabilitar el servicio "cliente web" (WebClient).
No está de más recordar que no se deben usar dispositivos extraíbles de
dudosa procedencia. Aun así, se deben tomar las precauciones oportunas
incluso contra los dispositivos en los que se confíe.
Lo más probable es que Microsoft publique el parche en cuanto esté
disponible, independientemente de su ciclo de actualizaciones. Ahora que
el problema es público y puede ser aprovechado por cualquiera, suponemos
que muy posiblemente se adelante con respecto a la siguiente tanda de
parches (programada para el 10 de agosto) o se retrase levemente con
respecto a ésta. Esperamos en cualquier caso que no haya que esperar
hasta septiembre para obtener una solución oficial.
Vía: http://comunidad.dragonjar.org/f150/nueva-vulnerabilidad-en-todos-los-windows-10307/
Aquí tenemos un análisis profundo: http://www.sinfocol.org/2010/07/analisis-vulnerabilidad-cve-2010-2568/
Y aquí como explotarlo con metasploit: http://www.kungfoosion.com/2010/07/explotando-lnk-con-metasploit.html
A ver si puedo realizar algunas pruebas y os digo!
ciyinet- Mensajes : 316
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
Para explotarlo con metasploit:
http://comunidad.dragonjar.org/f184/explotar-vulnerabilidad-lnk-de-windows-con-metasploit-10302/
Voy a intentar problarlo ahora mismito
Esperemos que solucionen el problema finalmente el próximo martes!
http://comunidad.dragonjar.org/f184/explotar-vulnerabilidad-lnk-de-windows-con-metasploit-10302/
Voy a intentar problarlo ahora mismito
Esperemos que solucionen el problema finalmente el próximo martes!
ciyinet- Mensajes : 316
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
Wuau...aunque lo solucionen muchisimas personas pasan de actualizar, y esto debe dejar un tunel abierto que te cagas...actualicen señores!!
Re: Nuevo vulnerabilidad para todos los windows
ciyinet escribió:Para explotarlo con metasploit:
http://comunidad.dragonjar.org/f184/explotar-vulnerabilidad-lnk-de-windows-con-metasploit-10302/
Voy a intentar problarlo ahora mismito
Esperemos que solucionen el problema finalmente el próximo martes!
Creo que sacaron el otro día un boletín extraordinario de seguridad. En IFES todos los equipos se reiniciaron automáticamente para completar la actualización. Supongo que se referiría a esta vulnerabilidad. Aún así, es lo que dice kmx0 habrá muchísima gente que no actualice. ¿Has probado algo más? Yo voy a sincronizar mi agenda para esta semana y en cuanto acabe, me voy a poner a "trastear".
Saludos freaks!!!
KurioCT- Mensajes : 384
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
Me siento apartado de este "mundillo" agosto me lo estoy tomando muuuuy relajado y os envidio cuando "trasteais".....no puede ser!!pero solo será agosto, os lo prometo jajaja
Re: Nuevo vulnerabilidad para todos los windows
kmx0 escribió:Me siento apartado de este "mundillo" agosto me lo estoy tomando muuuuy relajado y os envidio cuando "trasteais".....no puede ser!!pero solo será agosto, os lo prometo jajaja
Bueno bueno te perdonamos
KurioCT- Mensajes : 384
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
Publicado en el blog un artículo de como se explota: http://hackingetico.wordpress.com/2010/08/10/explotando-vulnerabilidad-lnk-de-windows/#more-383
¿Qué os parece!!!?
¿Qué os parece!!!?
ciyinet- Mensajes : 316
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
Ya??? Vaya maquinón, voy a verlo ahoooooooooooooraaaaaaaaaaaaaaa!!!
KurioCT- Mensajes : 384
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
B-R-A-V-O BRAVO!!!
Supercurrado, enhorabuena!!!
Supercurrado, enhorabuena!!!
KurioCT- Mensajes : 384
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
kmx0 escribió:Bueno decidme, habéis "explorado" a través del bug?
¿Te refieres a esta vulnerabilidad? Yo no he tocado nada, ciyinet es el que está trasteando.
KurioCT- Mensajes : 384
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
kmx0 escribió:Bueno decidme, habéis "explorado" a través del bug?
¿A qué te refieres? Yo solo la he trasteado en mi propia red. Y bueno, con el meterpreter se puede hacer de todo, keylogger, captura de pantalla, sniffer, shell...
ciyinet- Mensajes : 316
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
KurioCT escribió:B-R-A-V-O BRAVO!!!
Supercurrado, enhorabuena!!!
Gracias!!!! No habría sido posible sin dar un repaso a las presentaciones de metasploit! Aquí nos complementamos entre todos
ciyinet- Mensajes : 316
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
ciyinet escribió:KurioCT escribió:B-R-A-V-O BRAVO!!!
Supercurrado, enhorabuena!!!
Gracias!!!! No habría sido posible sin dar un repaso a las presentaciones de metasploit! Aquí nos complementamos entre todos
Pues me refiero a que si habéis probado a "aprovecharos" de los fallos en vuestra propia red, por supuesto!!
Re: Nuevo vulnerabilidad para todos los windows
Estoy con el metasploit y siguiendo el blog, pero ni me encuentra nada de lnk "search lnk" ni me carga el modulo indicado (Failed), salir me sale pero no puedo activarlo. Por supuesto he hecho el msfupdate.
EDITO:
He conseguido hacerlo, pero otro ordenador que tengo con xp y sin el parche tiene el nod32, y se ha chivado por completo. Aun desactivandolo.
Lo estoy intentando otra vez pero ya no se me inicia el exploit, me dice que "handler failed to MIIP:4444" y que la direccion 0.0.0.0:4444 esta en uso....malrollito!!
Por lo demás arranco bien pero firefox no se lo tragaba, pero IE si...al salir la ventana NOD se chivó y lo jodio to!
REQUETEDITO xD:
Lo conseguí desactive el nod32 y cree la sesión, rapidamente, y teniendo acceso a todo el equipo. Como siempre la pega es que si tienes un antivirus en condiciones te jode vivo porque actualizar no actualiza casi nadie, salvo los cuatro flipaos como nosotros jaja.
Bueno, KurioCT, algun exploit mas que se pueda probar????
Saludos!!
EDITO:
He conseguido hacerlo, pero otro ordenador que tengo con xp y sin el parche tiene el nod32, y se ha chivado por completo. Aun desactivandolo.
Lo estoy intentando otra vez pero ya no se me inicia el exploit, me dice que "handler failed to MIIP:4444" y que la direccion 0.0.0.0:4444 esta en uso....malrollito!!
Por lo demás arranco bien pero firefox no se lo tragaba, pero IE si...al salir la ventana NOD se chivó y lo jodio to!
REQUETEDITO xD:
Lo conseguí desactive el nod32 y cree la sesión, rapidamente, y teniendo acceso a todo el equipo. Como siempre la pega es que si tienes un antivirus en condiciones te jode vivo porque actualizar no actualiza casi nadie, salvo los cuatro flipaos como nosotros jaja.
Bueno, KurioCT, algun exploit mas que se pueda probar????
Saludos!!
Última edición por kmx0 el Jue Ago 12 2010, 04:18, editado 2 veces (Razón : Porque puedo!!!)
Re: Nuevo vulnerabilidad para todos los windows
Cierto es que firefox no se lo traga e IE sí. También, cuando aún no existía el parche de seguridad y sí el exploit, a mi me saltó el antívirus (fueron más rapidos que Microsoft).
ciyinet- Mensajes : 316
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
Hombre, al trabajar en un servicio técnico te das cuenta de los dejaos que están la mayoría de ordenadores, y hoy mismamente tenía dos para arreglar y vamos, he tenido que ponerme mascarilla y todo para que no contagiarme, y te das cuenta que no es muy dificil encontrar un ordenador que sea un colaero...Y este bug es sumamente gordisimo, he estado probando comandos "screenshot" y hace capturas de la pantalla en el momento...tiene keylogger...aunque todavia nose como mostrar las capturas. Un bug bastante gordo.
Re: Nuevo vulnerabilidad para todos los windows
Me ha llegado al correo uno de Word con objetos enlazados, pero no hay payload. Viene explicado cómo hacerlo, pero como que no me voy a poner a programar en ensamblador, jmp final_mensaje.
mv Saludos!!!
PD: Se me va la almendra
PD2: La gente que tiene XP pirata suele desactivar las actualizaciones porque si les instala lo de Programa de Ventajas de Windows Original... flipo con la gente.
mv Saludos!!!
PD: Se me va la almendra
PD2: La gente que tiene XP pirata suele desactivar las actualizaciones porque si les instala lo de Programa de Ventajas de Windows Original... flipo con la gente.
KurioCT- Mensajes : 384
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
Última edición por ciyinet el Vie Ago 13 2010, 06:23, editado 1 vez
ciyinet- Mensajes : 316
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
Vamos, que cualquier alma desterrada y malintencionada que haga algo ilegal conectandose a un router que no es suyo la puede liar parda.
Asi que ya sabéis, los pocoos que nos sigan en el foro. Cuidar su windows y actualizaros!!
Asi que ya sabéis, los pocoos que nos sigan en el foro. Cuidar su windows y actualizaros!!
Re: Nuevo vulnerabilidad para todos los windows
Añadida captura
ciyinet- Mensajes : 316
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
Yo probe cn windows...y hasta el keyloger...y bueno....Welcome to paradise...no es por fliparme pero es que fue sumamente sencillo y rápido.
KurioCT- Mensajes : 384
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
Una vez que tenemos la consola de meterpreter, si queremos mantener el acceso a la máquina aunque esta reinicio podemos subirle el netcat y poner una clave en el registro para tener una shell siempre al inicio:
http://comunidad.dragonjar.org/f184/metasploit-subir-archivos-y-crear-clave-dentro-del-registro-8931/
http://comunidad.dragonjar.org/f184/metasploit-subir-archivos-y-crear-clave-dentro-del-registro-8931/
ciyinet- Mensajes : 316
Fecha de inscripción : 23/06/2010
Re: Nuevo vulnerabilidad para todos los windows
ciyinet escribió:Una vez que tenemos la consola de meterpreter, si queremos mantener el acceso a la máquina aunque esta reinicio podemos subirle el netcat y poner una clave en el registro para tener una shell siempre al inicio:
http://comunidad.dragonjar.org/f184/metasploit-subir-archivos-y-crear-clave-dentro-del-registro-8931/
Jojojo, qué bueno...
KurioCT- Mensajes : 384
Fecha de inscripción : 23/06/2010
Página 1 de 2. • 1, 2
Temas similares
» Nuevo avance para securizar DNS
» Vulnerabilidad en WPA2 - Hole196
» Vulnerabilidad grave 0-day en Adobe Acrobat y Reader
» Nuevo ARTICULO!!
» Nuevo POST en el BLOG!!
» Vulnerabilidad en WPA2 - Hole196
» Vulnerabilidad grave 0-day en Adobe Acrobat y Reader
» Nuevo ARTICULO!!
» Nuevo POST en el BLOG!!
Página 1 de 2.
Permisos de este foro:
No puedes responder a temas en este foro.