El pasado martes 15 de septiembre tuve que viajar a las I Jornadas Nacionales de Investigación en Ciberseguridad en León. A veces es un poco duro el tener que estar cogiendo trenes o aviones para ir y volver en el mismo día, pero a los que nos gusta… nos gusta. Cuando volvía a casa me puse a revisar cosas pendientes que tengo por ojear, y vi la vulnerabilidad ms15-100 de Microsoft. Esta vulnerabilidad me llamó la atención por varias cosas: la primera porque es una ejecución de comandos remota y segundo por lo sencilla que es, es decir cualquier usuario puede entender lo que ocurre con ella.
Decidí comprobar lo fácil de la explotación de la vulnerabilidad así que realicé una pequeña prueba y verifiqué en una máquina virtual con Windows 7 SP1 que todo funcionaba como indica la vulnerabilidad, ¿Fácil, no? Una vez hecho esto hay que ponerse manos a la obra y quería aprovechar el tiempo de tren para picarme un módulo de Metasploit para esta vulnerabilidad. Lo curioso es que una vez terminado me di cuenta que la gente de Rapid7 ya lo había implementado, lo cual es lógico, ya que la vulnerabilidad es del día 8 de Septiembre. Dicho esto, a mi hacer este módulo me vale como ejemplo de simplicidad, por ejemplo de cara a la segunda edición del Curso de Especialización en Seguridad Informática para la Intrusión de Sistemas: Metasploit en Profundidad.
¿Qué permite la vulnerabilidad?
La vulnerabilidad es tan sencilla que se resume en la existencia de un fichero de tipo mcl que permite instalar cosas en Windows Media Center. Este fichero es utilizado para ejecutar, por ejemplo, plugins y permite ejecutar aplicaciones. Esto abre un campo a la ejecución de código remoto, ya que permite la ejecución a través de UNC, Universal Naming Convention. Como se puede ver en la siguiente imagen el mcl es muy sencillo de entender.
En este pequeño ejemplo rápido, cuando se ejecute un fichero mcl con este contenido se accederá a la dirección IP 192.168.1.14 para solicitar el fichero ubicado en ms15/p.exe y se ejecutará, provocando la ejecución remota y, por supuesto, maliciosa.
Desarrollo de un módulo de Metasploit para ms15-100
El módulo que realicé está subido a mi github, el cual uso como almacén. El módulo tiene la función Initialize, como siempre, y que comentamos brevemente a continuación:
Hasta aquí la parte más administrativa y más sencilla del módulo. En este caso, el módulo no será complejo, pero ¿qué queremos que haga? Como se mencionó anteriormente el atributo PoC es un enumerado que representa a un booleano, el cual solo puede coger dos valores true y false. Por defecto es false, es decir, se ejecutará una pequeña prueba de concepto que genera un fichero mcl con la siguiente instrucción <application run=”calc.exe”/>. Cuando el usuario ejecute el archivo se abrirá una calculadora en su sistema Microsoft Windows.
En la siguiente imagen se puede ver la definición de la función exploit y la definición de la función make_poc_mcl, la cual es utilizada en la primera función. La función exploit comprueba el modo en el que se lanza el módulo por parte del usuario, empezando por el atributo PoC. Si la ejecución es con el valor false se crea un fichero solamente con la instrucción file_create(mcl) en la que la variable mcl vale “<application run=”[valor de PoC_Binary]”/>”.
Si la ejecución vale true se utiliza el objeto framework, el cual está disponible en el intérprete de Ruby que se puede ejecutar desde la consola de Metasploit. Este objeto nos da acceso a todo lo que podemos hacer con el framework desde la consola de comandos. En este caso buscamos crear una instancia del módulo de tipo payload que haya indicado el usuario en la variable PAYLOAD. Por ejemplo, si el usuario configura PAYLOAD como windows/meterpreter/reverse_rcp la instrucción m = framework.modules.create(datastore[‘PAYLOAD’]) crea una instancia de dicho módulo.
Después se configura la variable interna del módulo de tipo payload con la instrucción m.datastore[‘LHOST’] = datastore[‘LHOST’], por si el módulo seleccionado por el usuario requiere este atributo.
Una PoC con el módulo de Metasploit para ms15-100
Queremos generar un ejecutable del payload, por ello se utiliza la función interna generate_simpe. En las opciones que se pasan a la función se utiliza la clave ‘Format’ para indicar que será un exe. Una vez generado y almacenado en memoria el ejecutable hay que pasarlo a disco para ello se utilizar funciones básicas de Ruby. Por último, la ejecución del módulo acaba generando un fichero mcl el cual puede apuntar a un recurso compartido dónde nosotros almacenaremos el binario que acabamos de crear.
¿Cuál es el objetivo? Por ejemplo, si el atributo PoC_BINARY vale \\<dirección IP>\ruta al binario.exe y se crea un fichero mcl que invoque este binario automáticamente al abrir el fichero tendremos la ejecución de comandos de la vulnerabilidad que Microsoft acaba de parchear hace pocos días. Configurando el exploit/multi/handler después podremos recibir las conexiones.
Todo esto en el viaje de vuelta de León, ha sido divertido. Ya sabéis de 17:00 a 20:00 que dura un viaje se puede hacer muchas cosas… Cada uno elige el qué. Os espero en el Curso Online de Metasploit en Profundidad de Criptored, en el que daremos más de 12 horas de clase para alumnos españoles y de latinoamérica que comienza el próximo 2 de Octubre y donde además se entregará el Libro de Metasploit para Pentesters de 0xWord para todos los asistentes.. Jugar con los objetos de Metasploit a través del irb es bastante divertido y poderoso, ¡Diviértete!
Autor: Pablo González (@pablogonzalezpe)
Escritor de los libros "Ethical Hacking", "Metasploit para Pentesters" y "Pentesting con PowerShell"
PD: Este artículo está dedicado a todos los alumnos del pasado Rooted Lab, Ethical Hacking: Pentesting, celebrado en Valencia el pasado 11 de Septiembre de 2015.
Figura 1: Crear un módulo de Metasploit para el ms15-100 |
Decidí comprobar lo fácil de la explotación de la vulnerabilidad así que realicé una pequeña prueba y verifiqué en una máquina virtual con Windows 7 SP1 que todo funcionaba como indica la vulnerabilidad, ¿Fácil, no? Una vez hecho esto hay que ponerse manos a la obra y quería aprovechar el tiempo de tren para picarme un módulo de Metasploit para esta vulnerabilidad. Lo curioso es que una vez terminado me di cuenta que la gente de Rapid7 ya lo había implementado, lo cual es lógico, ya que la vulnerabilidad es del día 8 de Septiembre. Dicho esto, a mi hacer este módulo me vale como ejemplo de simplicidad, por ejemplo de cara a la segunda edición del Curso de Especialización en Seguridad Informática para la Intrusión de Sistemas: Metasploit en Profundidad.
¿Qué permite la vulnerabilidad?
La vulnerabilidad es tan sencilla que se resume en la existencia de un fichero de tipo mcl que permite instalar cosas en Windows Media Center. Este fichero es utilizado para ejecutar, por ejemplo, plugins y permite ejecutar aplicaciones. Esto abre un campo a la ejecución de código remoto, ya que permite la ejecución a través de UNC, Universal Naming Convention. Como se puede ver en la siguiente imagen el mcl es muy sencillo de entender.
Figura 2: Fichero de tipo mcl malicioso |
En este pequeño ejemplo rápido, cuando se ejecute un fichero mcl con este contenido se accederá a la dirección IP 192.168.1.14 para solicitar el fichero ubicado en ms15/p.exe y se ejecutará, provocando la ejecución remota y, por supuesto, maliciosa.
Desarrollo de un módulo de Metasploit para ms15-100
El módulo que realicé está subido a mi github, el cual uso como almacén. El módulo tiene la función Initialize, como siempre, y que comentamos brevemente a continuación:
- En DefaultOptions se indica qué atributos del módulo tendrán una configuración por defecto, y en este caso se han configurado EXITFUNC para que sea process y en el atributo InitialAutoRunScript se configura el comando migrate –f, para que cuando se ejecute el payload se cree un nuevo proceso y la ejecución del payload se realice en el nuevo proceso y no en el proceso comprometido.
- En Targets se indica a qué software afecta la vulnerabilidad y con DefaultTarget se indica qué target es el elegido.
- La función register_options da de alta nuevos atributos en el módulo. En este caso se han dado de alta los siguientes atributos: FILENAME para indicar el nombre con el que se creará el fichero que contiene la ruta del código malicioso, PoC_BINARY el cual indica la ruta al binario que se quiere ejecutar, PoC es un booleano que indica el tipo de ejecución, ya que el módulo tiene 2, una en modo prueba de concepto que abre una calculadora y otra que genera un binario con un payload y prepara el fichero con esa ruta.
- Por último tenemos el atributo EXE el cual indica el nombre o ruta en el que se creará el binario malicioso, generalmente utilizaremos una Meterpreter dentro del binario.
Figura 3: Función Initialize del módulo de Metasploit para el ms15-100 |
Hasta aquí la parte más administrativa y más sencilla del módulo. En este caso, el módulo no será complejo, pero ¿qué queremos que haga? Como se mencionó anteriormente el atributo PoC es un enumerado que representa a un booleano, el cual solo puede coger dos valores true y false. Por defecto es false, es decir, se ejecutará una pequeña prueba de concepto que genera un fichero mcl con la siguiente instrucción <application run=”calc.exe”/>. Cuando el usuario ejecute el archivo se abrirá una calculadora en su sistema Microsoft Windows.
En la siguiente imagen se puede ver la definición de la función exploit y la definición de la función make_poc_mcl, la cual es utilizada en la primera función. La función exploit comprueba el modo en el que se lanza el módulo por parte del usuario, empezando por el atributo PoC. Si la ejecución es con el valor false se crea un fichero solamente con la instrucción file_create(mcl) en la que la variable mcl vale “<application run=”[valor de PoC_Binary]”/>”.
Figura 4: Función exploit del módulo para Metasploit ms15-100 |
Si la ejecución vale true se utiliza el objeto framework, el cual está disponible en el intérprete de Ruby que se puede ejecutar desde la consola de Metasploit. Este objeto nos da acceso a todo lo que podemos hacer con el framework desde la consola de comandos. En este caso buscamos crear una instancia del módulo de tipo payload que haya indicado el usuario en la variable PAYLOAD. Por ejemplo, si el usuario configura PAYLOAD como windows/meterpreter/reverse_rcp la instrucción m = framework.modules.create(datastore[‘PAYLOAD’]) crea una instancia de dicho módulo.
Después se configura la variable interna del módulo de tipo payload con la instrucción m.datastore[‘LHOST’] = datastore[‘LHOST’], por si el módulo seleccionado por el usuario requiere este atributo.
Una PoC con el módulo de Metasploit para ms15-100
Queremos generar un ejecutable del payload, por ello se utiliza la función interna generate_simpe. En las opciones que se pasan a la función se utiliza la clave ‘Format’ para indicar que será un exe. Una vez generado y almacenado en memoria el ejecutable hay que pasarlo a disco para ello se utilizar funciones básicas de Ruby. Por último, la ejecución del módulo acaba generando un fichero mcl el cual puede apuntar a un recurso compartido dónde nosotros almacenaremos el binario que acabamos de crear.
Figura 5: Configuración del exploit para ms15-100 en Metasploit |
¿Cuál es el objetivo? Por ejemplo, si el atributo PoC_BINARY vale \\<dirección IP>\ruta al binario.exe y se crea un fichero mcl que invoque este binario automáticamente al abrir el fichero tendremos la ejecución de comandos de la vulnerabilidad que Microsoft acaba de parchear hace pocos días. Configurando el exploit/multi/handler después podremos recibir las conexiones.
Figura 6: Ejecución del exploit |
Todo esto en el viaje de vuelta de León, ha sido divertido. Ya sabéis de 17:00 a 20:00 que dura un viaje se puede hacer muchas cosas… Cada uno elige el qué. Os espero en el Curso Online de Metasploit en Profundidad de Criptored, en el que daremos más de 12 horas de clase para alumnos españoles y de latinoamérica que comienza el próximo 2 de Octubre y donde además se entregará el Libro de Metasploit para Pentesters de 0xWord para todos los asistentes.. Jugar con los objetos de Metasploit a través del irb es bastante divertido y poderoso, ¡Diviértete!
Autor: Pablo González (@pablogonzalezpe)
Escritor de los libros "Ethical Hacking", "Metasploit para Pentesters" y "Pentesting con PowerShell"
PD: Este artículo está dedicado a todos los alumnos del pasado Rooted Lab, Ethical Hacking: Pentesting, celebrado en Valencia el pasado 11 de Septiembre de 2015.
No hay comentarios:
Publicar un comentario