elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Entrar al Canal Oficial Telegram de elhacker.net


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Ejecución de comandos arbitrarios en Microsoft Windows XP y Windows Server 2003
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Ejecución de comandos arbitrarios en Microsoft Windows XP y Windows Server 2003  (Leído 1,528 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.663



Ver Perfil WWW
Ejecución de comandos arbitrarios en Microsoft Windows XP y Windows Server 2003
« en: 11 Junio 2010, 18:18 pm »

Tavis Ormandy ha publicado, en la lista de Full Disclosure, los detalles y prueba de concepto de una vulnerabilidad sin parche que permite ejecutar comandos arbitrarios a través de una URL. El fallo descubierto se haya en Microsoft Windows Help Centre, la aplicación para acceder a la documentación de ayuda.

Dicha aplicación registra un manejador de protocolo con el esquema "hcp://" para acceder a la documentación a través de URLs. Cuando se accede a través de una URL a la documentación, el manejador del nombrado esquema "hcp", añade el parámetro de línea de comandos "/fromhcp" para indicarle a la aplicación del centro de ayuda que el recurso ha sido solicitado desde una URL; restringiendo el uso de parámetros y permitiendo sólo un conjunto de documentos que se encuentran en una lista blanca.

Ormandy ha encontrado un método para evadir esta lista blanca, basado en un error en la implementación de la función que comprueba las URL.

El fallo reside en la función "MPC::HTML::UrlUnescapeW", usada para la normalización y filtrado de la URL antes de ser validada. Dicha función usa a su vez la función "MPC::HexToNum" para convertir los caracteres escapados (p.ej %20 al valor de espacio en blanco) a su correspondiente valor numérico.

Sin entrar en detalles técnicos, básicamente, la función "MPC::HTML::UrlUnescapeW" omite el chequeo del valor de retorno de "MPC::HexToNum", permitiendo envenenar la cadena final y evadir la restricción de lista blanca.

Para proseguir con la explotación Ormandy necesitaba una página de la documentación que cumpliese con varias condiciones, poder ser invocado directamente desde una URL y con un fallo de cross-site scripting que le permitiese incluir una cadena manipulada.

Pudo localizar la página de documentación e identificar el XSS, pero curiosamente no pudo explotarlo (Ormandy no es especialista en Web). Así que tuvo que echar mano de su compañero en Google y experto en seguridad web y navegadores Michal Zalewski, muy nombrado últimamente por su escáner de seguridad web Skipfish.

Con la ayuda de Zalewski y de una propiedad exclusiva de Internet Explorer el XSS pudo ser explotado. En ese momento se disponía de un método para evadir la lista blanca, una página de documentación de ayuda instalada por defecto y con un XSS explotable. Al ejecutarse la página en una zona privilegiada tan solo bastaba incluir un comando en la cadena para provocar su ejecución.

¿Acabó aquí?

Hasta ahora está claro que con una URL con el manejador "hcp://" y apropiadamente manipulada se pueden inyectar comandos, pero cuando se invoca a través del navegador el usuario es advertido y aunque es conocida la incapacidad retentiva de la mayoría para hacer click en aceptar, a Ormandy no le pareció una forma elegante de finalizar con su investigación.

Consiguió un método para evitar la atención del usuario mediante el uso de archivos ASX (Advanced Stream Redirector). Windows Media Player 9 usa estos archivos, con estructura XML, para almacenar listas de reproducción. El navegador invoca el reproductor cuando abre un archivo con extensión ".asx". Entre los valores a incluir en dicho archivo uso el elemento "HTMLView" y le dio como valor una URL hacia una página HTML que contiene, ahora si, la URL maliciosa.

No deja de resultar curioso, en este caso en particular, el encadenamiento de explotaciones y descubrimientos que llevan al investigador desde un punto de intuición hasta la consecución de sus objetivos.

Son vulnerables los sistemas Windows XP y Windows Server 2003.

Mike Reavey, director del MSRC de Microsoft ha publicado una respuesta en el blog del MSRC, en la que ofrece una contramedida y explica el poco tiempo que el investigador les ha otorgado, para solucionar el fallo, antes de hacer públicos los detalles.

David García
  dgarcia@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4247


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Conexion de un router a la red interna en windows server 2003
Redes
cernicaloarafo 1 2,162 Último mensaje 5 Mayo 2012, 15:46 pm
por HdM
acceder a windows server 2003, sin saber contraseña, sin aprueba de fallos,etc.
Windows
danointeligencia 4 8,342 Último mensaje 30 Septiembre 2012, 20:16 pm
por RevangelyonX
Windows RT, el juguete roto de Microsoft
Noticias
wolfbcn 0 1,170 Último mensaje 19 Julio 2013, 17:27 pm
por wolfbcn
Identificar formularios PHP en Windows 2003 y 2008 Server
Windows
maxi_kpo13 0 1,291 Último mensaje 29 Agosto 2013, 01:44 am
por maxi_kpo13
Microsoft windows server 2003
Windows
Ander123 0 1,510 Último mensaje 30 Noviembre 2013, 15:14 pm
por Ander123
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines