Peligro; de malware y ficheros .lnk va la cosa

El fallo es muy peligroso (puede explotarse de forma remota al, por ejemplo, visitar una web maliciosa) y atañe a los ficheros .lnk de Windows. Ya han liberado una prueba de concepto:

http://www.exploit-db.com/exploits/14403/

Aqui el advisory y workaround (creo que lo mejor sera aplicarlo hasta que aparezca el parche definitivo):

http://support.microsoft.com/kb/2286198

Aunque quizas las siguientes alternativas sean mas "agradables" para el usuario:

http://blog.didierstevens.com/2010/07/1 ... ith-ariad/
http://blog.didierstevens.com/2010/07/2 ... -with-srp/

La historia es muy curiosa porque comenzo a detectarse mediante un malware, stuxnet, que se propagaba mediante dispositivos USB y atacaba sistemas SCADA. El siguiente enlace es muy completo:

http://grandstreamdreams.blogspot.com/2 ... orage.html

Y para redondear algunos enlaces mas sobre el tema:

McAfee Labs
Microsoft Malware Protection Center
Mandiant

Saludos

http://www.metasploit.com/modules/exploit/windows/browser/ms10_xxx_windows_shell_lnk_execute

Un saludo.

Aquí como evitar su explotación.

Aquí como evitar su explotación.

Esta entrada detalla cómo aplicar una directiva de restricción de software para evitar la última vulnerabilidad crítica de Windows en todas sus versiones y para la que aún no hay parche. Es una libre adaptación y traducción de la entrada de Didier

http://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/

Saludos

Jajajaja!

Sólo lo he puesto para la gente que no entiende inglés, hombre!

P.D.: Es broma jejeje, ni me había enterado! Es lo que pasa con las lecturas diaagonales! Lo siento

He escrito un artículo sobre cómo explotar esta vulnerabilidad con mestaploit paso a paso:
http://hackingetico.wordpress.com/2010/ ... e-windows/

¡Saludos!

Por jugar un poco con Metasploit lo he probado y a mí no me ha funcionado. No sé si para el recurso compartido que acaba visitando (indirectamente) la víctima hace falta configurar algo aparte, o es el propio Metasploit el que debería implementarlo.

En la propia consola me dice algo de UNC redirect cuando la víctima visita el servidor web del atacante, pero no me devuelve una shell.
A ver quién puede echar un poco de luz sobre el asunto.

mmm eso de "indirectamente" me suena mal Sor. A la victima le tiene que aparecer el icono del acceso directo y hacer doble clic sobre el.

En las pruebas que hice cuando salio el exploit, con FF/Opera no tuve exito. Tuve que probar con IE en la victima. Y luego viendo las sesiones con el comando sessions aparecia una sesion creada.

ciyi lo ha explicado muy bien. Lo dicho, prueba con IE.

Suerte,

Buenas,

sí, probé con IE. Y con "indirectamente" me refiero a que la víctima tiene que navegar a la IP del atancante. Una vez pasaba eso, hace una redirección al recurso compartido y entonces el IE canta un error de servidor no encontrado. Vamos, que donde se supone que hay un recurso compartido no hay nada

Por eso preguntaba si es el propio Metasploit el que debería servir el recurso compartido o hay que montar algo aparte.
Saludos


PD: nen no hace falta clickear sobre el .lnk, con visualizarlo con el IE es suficiente.

Hola,

Yo cuando lo probe utilice en la maquina atacante solo metasploit, no tuve que montar nada mas aparte. Eso si que lo recuerdo bien.

Ahora no tengo acceso a ningun win para reproducirlo, siento no poder ayudarte mas!

Un saludo.

Hola!

Yo hice una prueba de conceptop aquí:

http://seifreed.com/2010/07/27/explotan ... etasploit/

La cosa "creo" funciona así:

Cargamos el exploit con metasploit y luego la víctima tendría que visitar el enlace malicioso y tendríamos la shell

Un saludo

Sigue sin funcionarme. Lo que escupe Metaspoit es lo siguiente:

  Código:

msf exploit(ms10_046_shortcut_icon_dllloader) > exploit
[*] Exploit running as background job.

[*] Started reverse handler on 192.168.1.2:443
[*]
[*] Send vulnerable clients to \\192.168.1.2\KnDiTrFjhfC\.
[*] Or, get clients to save and render the icon of http://<your host>/<anything>.lnk
[*]
[*] Using URL: http://192.168.1.2:80/
[*] Server started.
msf exploit(ms10_046_shortcut_icon_dllloader) >
[*] Sending UNC redirect to 192.168.1.4:1046 ...
[*] Sending UNC redirect to 192.168.1.4:1046 ...
[*] Sending UNC redirect to 192.168.1.4:1068 ...
[*] Sending UNC redirect to 192.168.1.4:1068 ...
[*] Sending UNC redirect to 192.168.1.4:1411 ...
[*] Sending UNC redirect to 192.168.1.4:1411 ...
[*] Sending UNC redirect to 192.168.1.4:1415 ...
[*] Sending UNC redirect to 192.168.1.4:1411 ...
[*] Sending UNC redirect to 192.168.1.4:1415 ...
[*] Sending UNC redirect to 192.168.1.4:1411 ...
[*] Sending UNC redirect to 192.168.1.4:1415 ...
[*] Sending UNC redirect to 192.168.1.4:1411 ...
[*] Sending UNC redirect to 192.168.1.4:1415 ...


Y de ahí no pasa, porque el IE no conecta con el recurso compartido.

Hola!

Es muy raro, podrías ponernos lo que vas poniendo en cada paso con metasploit?

Un saludo

Seifreed, lo que pongo es literal lo que has escrito en tu blog o en el de ciyi. Por eso he decidido no darle más vueltas, rollo usuario:

La informática es magia; hay veces que funciona otras que no...

Se agradece tu intención

Sor,

No te negaré que infinidad de veces me he sentido así... Cierto que siempre hay una razón... Pero... bff