jueves, julio 08, 2010

Metasploit con Adobe Flash Player: Un ejemplo (1 de 3)

**********************************************************************************************
- Metasploit con Adobe Flash Player: Un ejemplo (I de III)
- Metasploit con Adobe Flash Player: Un ejemplo (II de III)
- Metasploit con Adobe Flash Player: Un ejemplo (III de III)
Autor: Bernabé Muñoz
**********************************************************************************************

[peloteo]Leo asiduamente el blog de Chema Alonso, un personaje que me sorprende, ya no tan sólo por sus conocimientos en el tema, sino por la capacidad de trabajo que puede llegar a tener una persona con tanto dinamismo, para estar en tantos sitios a la vez y hacerlo bien.[/peloteo]

Volviendo al blog de Chema Alonso hay algo que me tiene un poco intrigado y es que, haciendo honor al nombre del blog: “El lado del mal”, no haya más espacio para una de las herramientas más elaboradas que hasta ahora he conocido: Metasploit Framework... del que ahora puedes leer el libro "Pentesting con Metasploit" si quieres aprender mucho más sobre ella.

Hd Moore fundo el proyecto Metasploit en julio de 2003, originariamente escrita en lenguaje Perl – “El visual Basic de Linux”, según dijo en la BlackHat DC 2010 – y que fue migrada posteriormente a Ruby. Hoy en día es un entorno de penetración en sistemas vulnerables, que consta de una consola en modo comandos y entorno de trabajo basado en web. Su objetivo se centra en la explotación de vulnerabilidades mediante una base de datos de exploits actualizada. Es una herramienta muy potente y se mantiene bajo una licencia Open Source.

He utilizado esta herramienta para escribir este artículo sobre una prueba realizada con un exploit para Adobe Flash Player. La idea es concienciar a los administradores de la necesidad de establecer una política de actualizaciones de seguridad para toda la utilería instalada en sus sistemas. La historia comienza con una noticia que salio el pasado 12/06/2010 en una-al-día. En ella, bajo el título de “Adobe soluciona 32 fallos de seguridad en Flash Player (y deja uno Compartido con Adobe Reader sin corregir)” se alertaba de que:

"Adobe no iba a publicar ninguna actualización hasta el 13 de julio, pero, dada la gravedad de uno de los fallos, se ha visto obligada a adelantar esta nueva versión. En concreto, se trata de CVE-2010-1297, que permite la ejecución de código y que ha sido incluido en Metasploit."

Al ver que el exploit estaba disponible en Metasploit decido ponerme manos a la obra. Actualmente administro un parque de 60 equipos todos ellos actualizados al día y con su respectivo antivirus - en mi caso nod32 -. Todos están configurados con el firewall de Windows XP activado en los clientes. Dentro de mi vanidad, como administrador de sistemas preocupado que creo ser, suelo dudar sobre el impacto de estas noticas en mis sistemas, ya que estoy dentro de los márgenes aceptables de protección - o eso es lo que yo creía ya que la realidad me demostró que no es así-.

Lo primero que hice es crearme un imagen de una estación de trabajo con vmware converter, para posteriormente ejecutarlo en una maquina virtual con vmwareplayer. Una vez arrancada la máquina virtual compruebo el estado del equipo, para que esté igual que mis plataformas de trabajo. Es decir, Firewall activo y el sistema operativo y el antivirus actualizado.


Figura 1: Firewall activado


Figura 2: Actualizaciones del sistema


Figura 3: AV activo y actualizado

Una vez que he comprobado que los componentes están al día, ejecuto la consola de Metasploit, msfconsole, en el lado del atacante.


Figura 4: msfconsole

Una vez dentro se busca el exploit al que se refería la noticia, relativo a Adobe Flash Player.


Figura 5: Exploits Adobe Flash Player

Como se puede apreciar en la figura superior, hay dos exploits a escoger. El primero se lanza mediante un link que la victima debe ejecutar en el navegador. El segundo es igual pero su explotación está pensada como un fichero flash que deberá ser enviado por correo al estilo de las famosas “cadenas de correo de ficheros graciosos”.

En este ejemplo me decanto por el primero y empiezo la configuración del exploit. Metasploit permite escoger el exploit a utilizar y para cada uno de ellos existe una lista de parámetros configurables y payloads personalizables.

Con “use windows/browser/adobe_flashplayer_newfunction”, se selecciona el exploit. Con “Show options” se configuran las opciones del exploit seleccionado. Éste en concreto permite montar un pequeño servidor web donde se alojará el enlace malicioso con el payload.


Figura 6: Módulos del exploit

**********************************************************************************************
- Metasploit con Adobe Flash Player: Un ejemplo (I de III)
- Metasploit con Adobe Flash Player: Un ejemplo (II de III)
- Metasploit con Adobe Flash Player: Un ejemplo (III de III)
**********************************************************************************************

5 comentarios:

  1. Anónimo_unixero_no_hostil8/7/10 1:22 a. m.

    ... originariamente escrita en lenguaje Perl [...] y que fue migrada posteriormente a Python ...

    El equipo de MSF tiró de Ruby (no Python), y así se mantiene actualmente ;-)

    ResponderEliminar
  2. Tienes toda la razon, mea culpa, ha sido un grave error, pero es que hay tantos entorno que me ya me pierdo.
    mil perdones
    berna

    ResponderEliminar
  3. Muy prometedora esta entrada. Y muy bien escrita, enhorabuena!

    ResponderEliminar
  4. Con esto, y un poco de ingenieria Social...

    ResponderEliminar