Tag Archives: Microsoft

MS10-046 : Microsoft Windows Shell LNK Execution

Since the 19 July, the Rapid 7 Metasploit team has release an exploit module for Windows Shell LNK exploit MSA-2286198, aka CVE-2010-2568. Actually the exploitation of this vulnerability is not widely exploited, but the situation could change rapidly soon. As you surely know, SANS ISC has increase his threat warning level to yellow over this vulnerability.

We have successfully test the exploit on Windows XP Pro SP3 fully patched.

Here bellow a video we have done, to demonstrate how it is easy to exploit this vulnerability with Metasploit.

[youtube rYrXDJfVLJ0]

Windows 0Day “LNK” et un nouveau cas APT ?

VirusBlokAda, une société spécialisée dans les anti virus a rapporté le 17 Juin, que ses chercheurs en sécurité informatique avaient découverts un 0Day Windows, et un malware. Le 0Day Windows pourrait permettre d’infecter tous les systèmes Windows ayant le dernier niveau de mises à jour, tandis que le malware découvert serait un nouveau cas de “Advanced Persistant Threat” (APT).

A l’origine des investigations, le 0Day Windows ne s’exécutait que dans le cas de l’exploration d’une clé USB par le biais d’un explorateur, par exemple Windows Explorer ou Total Commander, du aux fonctionnalités “Autorun” ou “Autoplay” de Windows. La clé USB doit contenir, à sa racine, un raccourcis Windows forgé (extension .lnk) et dès que la clé USB est explorée l’exécution de ce raccourcis est effectuée automatiquement, permettant ainsi l’exécution de code malveillant.

Après des analyses supplémentaires de la part de ISC, il s’avère que le 0Day Windows “LNK” permet aussi de s’exécuter aussi de n’importe quel point de montage (disque dur, dossiers locaux, dossiers en réseaux ou dossiers WebDav).

Ci-dessous une vidéo, de Sophos, sur le 0Day Windows “LNK”.

[youtube ZOXaAhAvYk8]

Microsoft a réagit en émettant une alerte de sécurité (2286198) et est en cours d’investigation. Mais nous pouvons déjà savoir que l’exécution du 0Day s’effectue dans le contexte des droits de l’utilisateur Windows, donc si vous utilisé un utilisateur Windows ayant des droits administrateur, celui-ci s’exécutera avec les mêmes droits. Les simples utilisateurs auront beaucoup moins de chance de se faire impacter par cet exploit.

Nous vous conseillons donc, de ne pas utiliser votre système Windows avec des droits privilégiés, de désactiver les fonctionnalités “Autorun” et “Autoplay” de Windows, et aussi de désactiver l’option “icônes” sur les raccourcis Windows.

Au niveau du malware découvert, celui-ci tente d’installer deux drivers “mrxnet.sys” et “mrxcls.sys” signés numériquement par “Realtek Semiconductor Corp.“, une société connus dans le monde de l’informatique. Vu que ces deux drivers soient signés par un certificat d’une entreprise reconnue par Microsoft, permet l’installation de ces deux drivers sans aucune alerte. Le premier driver “mrxcls.sys” cache la présence de fichiers “.lnk” et le deuxième driver “mrxnet.sys” injecte des données encryptées supportant l’activité courante du malware.

Le fait que deux drivers contenu dans un malware, participant à une infection, soient signés par Realtek signifierait éventuellement aussi que la clé privée de RealTek a été compromise, et que celle-ci servirait éventuellement pour signer d’autres logiciels malveillants. Ou il se pourrait que les auteurs de ce malware aient simplement achetés un certificat au nom de RealTek pour signer leur logiciel. Par mesure de précaution, Microsoft et Verisign, en accord et avec le support de RealTek, ont révoqué le certificat suspect.

Frank Boldewin, un autre chercheur en sécurité informatique à eu l’occasion d’analyser le malware de façon plus détaillée, et celui-ci a remarqué que le malware ciblait particulièrement “WinCC Scada system“, un système utilisé dans les grandes industries (nucléaire, énergie, etc) et dans les organismes gouvernementaux. Ce malware serait donc utiliser pour effectuer de l’espionnage, un nouveau cas APT ? En tous cas Siemens a émis, lui aussi, une alerte à destination de ses clients utilisant le système Scada, ce qui confirmerait l’attaque ciblée et éventuellement persistante. Microsoft suspecte que le malware serait actif depuis au moins 1 mois, voir plus, ce qui rendrait la menace persistante.

IIS5 & 6 FTP Stack Overflow 0day

Kingcope a diffusé, aujourd’hui dans la journée, sur la mailing-list Full Disclosure, un 0Day visant IIS 5 et 6 par le biais du service FTP intégré dans IIS de Windows 2000. Ce 0Day à plusieurs comportements :

– pour IIS 5 sous Windows 2000, l’exploit fournit un accès shell au serveur permettant de le compromettre, mais requiert une authentification quelconque (par exemple anonymous, client d’oeil à Damien ….), et que l’utilisateur FTP puisse créer un répertoire. Difficilement exploitable en anonymous smile.gif

– pour IIS 6 sous Windows 2003, l’exploit permet d’effectuer un déni de service (DoS) sur le serveur web, rendant celui-ci inaccessible. (va y avoir du DoS dans l’air).

#Microsoft Internet Information Server 5.0/6.0
#FTP Server Remote Stack Based Overrun
# IIS 5.0 FTPd / Remote r00t exploit
# Win2k SP4 targets
# bug found & exploited by Kingcope, kcope2googlemail.com
# Affects IIS6 with stack cookie protection
# August 2009 - KEEP THIS 0DAY PRIV8

Pour se protéger de ces tentatives d’exploitation, biensûr ne donner un accès FTP qu’à des utilisateurs de confiance.

Il est aussi possible de détecter cette attaque par le biais de l’IDS Snort avec la règle VRT : (ftp_telnet) FTP command parameters were too long

SITE KSEXY‰âÚÞÙrô[SYIIIIIIIIIICCCCCC7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIKLJHPDC0C0C0LKG5GLLKCLEU
BXEQJOLKPOEHLKQOQ0C1JKG9LKGDLKC1JNP1IPLYNLLDIPD4C7IQIZDMC1IRJKL4GKQDFDC4CEJELKQOQ
4C1JKCVLKDLPKLKQOELEQJKLKELLKEQJKK9QLFDDDHCQOFQL6CPPVE4LKPFP0LKG0DLLKBPELNMLKBHEX
MYJXLCIPCZF0CXL0LJDDQOCXJ8KNMZDNPWKOJGBCBME4FNBED8CUGPFOE3GPBNBECDQ0D5D3E5D2Q0CGC
YBNBOCGBNQ0BND7BOBNE9CGGPFOQQPDG4Q0FFQ6Q0BNBED4Q0BLBOCSE1BLBGCBBOCEBPGPG1BDBME9BN
BIBSCDCBE1D4BOCBCCGPBWE9BNBOBWBNGPFOG1QTQTC0AAVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV
VVVVVV