10 jun 2019

Ejecución Arbitraria de Código en Internet Explorer sobre Windows 10 (CVE-2019-0752)

El investigador HexKitchen de Trend Micro's Zero Day Initiative reportó, hace un par de meses, una vulnerabilidad de corrupción de la memoria que afectaba al motor de scripting de Internet Explorer en Windows 7 (CVE-2019-0752 , reportado posteriormente por Microsoft el 09/04/2019). 

Dicha vulnerabilidad permite que atacantes remotos puedan ejecutar código arbitrario (RCE) en el navegador Internet Explorer perteneciente a Microsoft. Para poder explotar dicho fallo de seguridad, se requiere la interacción del usuario, de tal manera que éste visite una página web maliciosa, ó, abra un archivo malicioso.

El fallo especifico se produce al manejar comandos de scripting que establecen ciertas propiedades de los objetos DOM. Realizando ciertas acciones en el script, un atacante puede provocar una condición de confusión de tipo (type confusion condition); de este modo, un atacante potencial podría aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual.

La primera versión del exploit se desarrolló en VBScript para Windows 7, ya que éste no está permitido en Windows 10; no obstante, poco tiempo después, James Forshaw de Google Project Zero reveló un posible bypass con el que se podía ejecutar VBScript en Windows 10.

A pesar de que el bypass ya ha sido parcheado por Microsoft, en abril de este año (CVE-2019-0768), podría ser utilizado en equipos sin actualizar este parche. Aprovechando esta vulnerabilidad, HexKitchen ha liberado hace pocos días un exploit funcional que permitiría la ejecución arbitraria de código para Windows 10, en todos aquellos dispositivos no actualizados.

Este nuevo exploit de HexKitchen está disponible en la cuenta de github de The Zero Day Initiative.

Demo:


Visitar el sitio .html que tiene el exploit

Descargamos el exploit, para posteriormente alojarlo en alguna web sobre la que tengamos control -este site será el que tendrá que visitar la víctima-; también podemos probar esta PoC en local.

Enviamos un phishing a la víctima, o cualquier otro tipo de engaño, que haga que ésta acabe visitando la página web donde alojamos nuestro exploit -el archivo.html-, a través de Internet Explorer 10 u 11.


PoC ejecuta el cmd

El dispositivo de la víctima ejecutará automáticamente el comando whoami en su cmd -lo ejecutado por defecto en la PoC-. 

El exploit original puede ser modificado, lo que permite que la víctima ejecute lo que el atacante quiera. 


Mensaje de “Permitir contenido bloqueado”

Como se pude apreciar en las imágenes anteriores, este exploit es muy sencillo de ejecutar; el único problema será que necesitaremos que el usuario haga clic en “Permitir contenido bloqueado”, al visitar la página, para que el exploit sea ejecutado.


Artículo cortesía de Christian Flores
Consultor de ciberseguridad

1 comentario: