2008
10.28

El día 23 de Octubre, Microsoft publica un parche de seguridad (MS08-067) avisando del mismo un día antes, fuera de su ciclo habitual (segundo martes de cada mes ) sobre un fallo en el protocolo RPC el cual permite ejecución de código remoto en el equipo del usuario, sin interacción ni autenticación del mismo. Desde hacia 3 semanas atrás a la publicación del parche se estaba aprovechando la vulnerabilidad por un troyano y/o gusano, aún no queda muy claro, llamado Win32/Gimmiv.A.
Al poco tiempo la gente de Immunity libera para Windows 2000 un exploit solo para los que tienen una cuenta y un PoC público.
Con este PoC he estado jugando el viernes tratando de poder compilarlo y he logrado compilarlo pero el domingo me entero que sale un exploit público para la versión Chinese de Windows XP hecho por EMM del grupo ph4nt0m.org y el PoC ya no me sirve más.

Alexander Sotirov, que por cierto dio una charla sobre XSS en la ekopartydecompiló el parche de Windows (MS08-067) y publico el código fuente de la función vulnerable para Windows XP SP3 y en uno de estos días que pasó lo modificó con los cambios del parche para Windows Vista SP1.

Este es un buen ejemplo para practicar de forma sencilla como explotar la vulnerabilidad sin tener que debugger el proceso “services.exe” en Windows 2000 o uno de los “svchost.exe” en Windows XP. Para debuguearlo en Windows 2000, se abre el OllyDbg y se “attachea” el proceso (File/Attach), se corre con F9 y se ejecuta en una consola el exploit. El OllyDbg se pondrá en pausa y a partir de ahí hay que comenzar a debuguear.
El exploit de EMM como dije antes, es para la versión China de Windows XP, tiene las direcciones de memoria “hardcodeadas” y no se sabe a que instrucción apuntan.

Este exploit tiene como shellcode un bind en el puerto 4444, pero algo modificado al que se arma en metasploit, por lo que si se consigue inyectar efectivamente el shellcode el mismo daría una shell en el puerto 4444 el cual se obtendría haciendo un “nc  ip 4444” o un telnet.

Este exploit me motivo para aprender a usar el IDA Pro junto al plugins Hex-Rays que pasa el código de assembler a C el cual se hace a veces más fácil de entender el código.

Una tool que también usé un poco más profundamente fue el Immunity Debugger creada para usar en estos casos.
Al momento de escribir estas lineas me entero que HD Moore avisa en Twitter que publico un PoC para Windows XP SP3, vamos a “jugar” mañana con este a ver que sale.

Ya han salido algunos malware aprovechando esta vulnerabilidad y ejecutando código en la máquina afectada.
Este plugin de HD Moore para usar en su metasploit  es lo mejor que se tiene hasta ahora.

Si alguien tiene alguna novedad sobre nuevos exploit y/o PoC, que deje un comentario o me envíe un correo.

Translate »