Esta "vulnerabilidad" (no es de hecho una vulnerabilidad completa) la descubrí hace cosa de 9 meses y la publique en Bugtraq, aunque no he visto que me hicieran mucho caso, voy a compartirla con vosotros:
Aun no he encontrado una aplicación para esta vulnerabilidad, pero creo que juntando un par de conocimientos y dandole al coco se le puede sacar partido.
Os habeis fijado como Internet Explorer 6.0 ejecuta un script de JavaScript en modo local con Service Pack2 instalado? Si no lo sabeis probad lo siguiente. Crear un nuevo documento de texto con el siguiente codigo:
<script>window.alert("Probando si se ejecuta...");</script>
Renombrarlo a "prueba.htm" y lo ejecutais con IE6 en un WinXP SP2 actualizado y parcheado. Os tendría que salir una barra de color amarilla que bloquea el script a menos que el usuario desee ejecutar el script. Pues la vulnerabilidad de la que os voy ha hablar consiste en ejecutar cualquier tipo de código dentro de un HTML sin hacer saltar la protección de la barra amarilla. La he llamado: "How to avoid/overrun/bypass/ the protection of execution scripts on a IE6 with WinXP SP"
Lo promero diceñamos un documento con un script de prueba como el que hemos creado anterior, por ejemplo:
<script>window.alert("MadAntrax was here...");</script>
Renombralo a: "overrun.htm"
A continuación nos vamos a Panel de Control / Opciones de Pantalla. Nos situamos en la pestaña de Escritorio y cambiamos la imagen de fondo pulsando sobre el botón Examinar y seleccionando nuestro script de prueba "overrun.htm" y aplicamos y guardamos los cambios. Inmediatamente se cambiará el fondo y al tratarse de ActiveDesktop (que usa tecnologia IE) tendria que saltar la protección de la barra amarilla de WinXP SP2 pero... el script se ejecuta sin problemas :O
Algunos pensareis: Vaya chorrada de vulnerabilidad. Pero con un poco de ingenio podemos conseguir bueno (o malos) propositos. Yo os voy a dar unas cuantas aplicaciones para explotar esta vulnerabilidad.
Como bien sabeis, al estar el script en local ejecutará aplicaciones Active-X sin pedir permiso, pudiendo crear archivos, ejecutar comandos, bindear shells, etc...
Quien sepa de programacion de JScript podrá crear un script que modifique cada 0,5 segundos la posición del raton en el documento, forzandolo a estar en la posicion x=0 y=0 (en la esquina superior izquierda)
Podremos usar el html para ejecutar el script cuando ocurra un evento determinado (por ejemplo onmouseover, onmouseclick) y ejecutar comandos tales como: Calculos y bucles bestiales para consumir RAM y velocidad de procesador (para hacer un mini-DoS por ejemplo).
Se prodria incluso crear un script que buscara las ventanas activas del escritorio y cerrar las que su titulo de ventana sea igual a: Explorer, CMD, Sistema, Antivirus, Pantalla, Control. Asegurandonos que no podrá navegar por internet, ni ejecutar antivirus, ni modificar el fondo de pantalla, etc)
Si eres MUY lamer (muy lamer) podrias hacer un script que trabajase con las APIS del messenger y guardara los logs de conversaciones, el password incluso.
Las aplicaciones de esta pequeña vulnerabilidad son muchas, solo necesitas imaginación.
Un usuario podrá pensar que estas acciones las puede ejecutar un EXE normal que añadiendolo al registro conseguiriamos que se ejecute cada vez que se enciende la maquina, esto es cierto. Pero hoy en día hasta el usuario más newbie es capaz de controlar que procesos se ejecutan al inicio de Windows, asi que si integramos todo en un html que trabajará de forma oculta en el escritorio de windows nos aseguramos de tener siempre en ejecución lo que nosotros deseemos (por ejemplo ejecutar el netcat y dejar una shell en el sistema)
Otro usuario podrá pensar que puede crear un EXE que se inyecte al explorer.exe (por ejemplo) consiguiendo ejecutar su codigo cada vez, esto tambien es cierto. Pero esta tecnica es bastante costosa y para usuarios o programadores avanzados, ademas, los antivirus se saben de momenria las funciones de inyeccion de codigo, cuando intentes usarlas un buen antivirus las bloqueará.
Resumiendo, creo que esta pequeña vulnerabilidad nos permite tener en ejecución un script en las circunstancias que nososotros deseemos y con los efectos que nosotros deseemos. Es cuestión de hecharle imaginación.
=====================
Aviso a los amantes de firefox: El que uses Firefox y tengas desinstalado IE6 no te excluye de esta vulnerabilidad, pues no se trata de una vulnerabilidad del navegador IE6, si no de la tecnologia del IE6 que se aplica al ActiveDesktop.
Tambien advertir que esta vulnerabilidad es exportable a otro ambito de Windows: La sugerencia del Dia.
Abrimos Mi PC / Menu Ver / Borra de Explorador / Sugerencia del Dia. En ese mini explorador web tampoco salta la protección del SP2, solo tenemos que sobreescribir el archivo HTML de las sugerencias por nuestro script malicioso.
====================
Muy bien, todo muy bonito esto.. pero alguien se preguntará ¿Como le cuelo un HTML malicioso como fondo de escritorio? Bueno lo rpimero es tener acceso al sistema, ya sea enviandole algun archivo o acceso fisico. Nos creamos un EXE que lea la configuracion del escritorio del registro y miramos si tiene una imagen puesta o un color en RGB. En el caso de que tenga una foto suya como fondo, leemos la ruta de la foto y hacemos que el EXE dropee un HTML con la foto de fondo + script malicioso al final, y se lo establecemos todo como fondo de pantalla. De esta manera ejecutamos codigo y el usuaio no percibirá el cambio. En el caso que no tenga foto y tenga un color de fondo, leemos que color tiene (en formato RGB) y se lo aplicamos a nuestro HTML con el script malicioso. Esta seri ala manera que yo he ideao, puedes crearte las tuya spropias, pero porfavor, expon tus ideas aqui. Muchas gracias....
Moderador: Estaba dudando donde colgar este post, si crees que tiene que estar en el foro de virus o en el foro de hacking basico muevelo sin remordimientos. Al final me he decidido de colgarlo aqui pues es una vulnerabilidad que puede dar mucho juego.
Autor
En línea
