Explotando UAC Windows 7

El presente artículo muestra una prueba de concepto la cual puede ser ejecutada de manera aislada a los artículos que se referenciaran. Este artículo es la 3ª entrega de la serie sobre phishing en Flu Project. La situación de la prueba de concepto es la siguiente, en el primer artículo se explicaban los conceptos y definiciones sobre phishing, en el segundo se creaba un fake con el que engañaríamos a un usuario para creer que se encontraba en una página en concreto y tras conseguir una sesión reversa en la máquina del usuario con Metasploit explotaremos en la tercera entrega de la serie una vulnerabilidad existente en el UAC de Windows 7 para conseguir escalar privilegios de la máquina remota.

El sistema operativo de Microsoft, Windows 7, el cual ha recibido, en general, buenas críticas y desde mi punto de vista ha supuesto una mejora y una optimización del sistema Vista bastante acertada, tiene en el UAC, la típica aplicación pesada que no deja de preguntar, una vulnerabilidad high risk. Esta aplicación tiene una vulnerabilidad la cual se explotará en la prueba de concepto y escalaremos en el nivel de privilegios.

Como nota de interés comentar que si un atacante consigue una sesión remota a través de Metasploit, obtendrá el nivel de privilegios que el usuario en concreto tenga en la máquina, por lo que es muy interesante que los usuarios no actúen en la máquina como Administradores a no ser que sea totalmente necesario.

Prueba de concepto: Situación inicial

Tenemos la sesión con Meterpreter iniciada en el artículo 'Crear phishing... es tan fácil'. En este punto tenemos unos privilegios iguales a los que tenga el usuario víctima, pueden no ser suficientes para que el atacante realice todas las acciones que quiera hacer. Mediante la instrucción 'sessions -l' se puede ver todas las sesiones abiertas con la máquina remota, en principio tendremos solo 1, con el identificador 1.

Para poder utilizar esta sesión se ejecutará la instrucción 'sessions -i 1'. Ahora para probar los privilegios de los que se cuentan en dicha sesión se puede ejecutar la instrucción 'getsystem'. Si el usuario víctima no es administrador se obtendrá una imagen como la que se adjunta. Es decir, no se disponen de los privilegios necesarios para realizar la operación.

ByPass UAC

A continuación se realizará el bypass al UAC, para ello se ejecutará la orden 'run post/windows/escalate/bypassuac' con lo que se conseguirán los privilegios máximos, system.

 

 

Ahora se dispone de una nueva sesión, con identificador 2. Se puede acceder a esa sesión cerrando, mediante exit la sesión actual, o guardando la sesión actual mediante background. Tras acceder a la sesión con identificador 2, se puede probar a ejecutar el comando getsystem, y se puede observar como el resultado no es el mismo que en la ejecución anterior. Se disponen de más privilegios, por lo que abrimos una shell, mediante dicho comando y observamos qué usuario disponemos en la máquina.

 

En el siguiente artículo de la serie sobre phishing, se realizará una prueba de concepto sobre DNS Spoofing, como una técnica de realismo al phishing.

 

 

 

=============================================

- Phishing, puro fake

- Crear phishing... es tan fácil

- Explotando UAC Windows 7

- DNS Spofing=============================================