terça-feira, 2 de março de 2010

F1 = Fórmula 1? NÃO! Mais uma vuln. do IE.

Na sexta-feira (26/02/2010) foi levantada uma questão de segurança, alertando os usuários do Windows XP, para que não pressionem a tecla F1, se solicitado durante a navegação pela internet usando o navegador internet explorer. Caso contrário, poderá ser facilitada a invasão do computador, permitindo um controle total do mesmo pelo atacante.



Segue link da notícia.

Investigating a new win32hlp and Internet Explorer issue

O exploit já se encontra disponível no trunk do metasploit, basta atualizá-lo com o comando svn update.



Na imagem acima, estou usando o exploit ie_winhlp32 com o metasploit e esperando que o usuário clique em nosso link, no caso, http://192.168.0.192/. Aqui é demonstrado um jeito "simples" de usar o exploit, para fins de testes e também para demonstrar ao usuário final as possíveis mensagens que deverá aparecer a eles, caso venham a acessar algum site malicioso. Segue imagens abaixo.



Abaixo, alterei a mensagem para o português!


Fica o aviso ae pessoal!
Testado com o IE7 no windows XP com SP3! Com o IE8 no XP SP3 totalmente atualizado também funcionou, conforme testes de alguns profissionais!

Recomendação: Utilizem o Firefox, até que seja disponilizado pela microsoft um patch para a correção da vulnerabilidade!

Obs.: Para os profissionais de S.I. que, com certeza saberam usar o exploit, alterem as devidas opções para o funcionamento correto do exploit! :)

Abraços à todos!

3spreto
.

8 comentários:

  1. E se a pessoa não precionar f1 e fechar o navegador?

    ResponderExcluir
  2. Que maravilha, TESTADO e aprovado :)

    by invasãowirelles

    ResponderExcluir
  3. Olá Anônimo!
    Para o uso deste exploit, o atacante terá que usar um belo de um pretexto (Engenharia Social) para conseguir acesso total ao computador da vítima, pois o mesmo deverá fazer com que a vítima entre em um site fake criado por ele, e logo após, fazer com que a vítima pressione a tecla F1. Com este exploit, simplesmente não funcionará, se não pressionar F1. Mais tenha em mente que ao clicar em um link desconhecido poderá ser executado outro tipo de exploit, ai dependendo, o atacante já ganhou acesso total ao seu computador. Abraços!

    ResponderExcluir
  4. João ou acho melhor Anonimo!

    Não sei onde pretende chegar com seus insultos e piadas! Analise os posts aqui colocado como um profissional ou simplesmente com seriedade. Seja homem o sulficiente para mostrar o rosto e fazer suas críticas. Aceito críticas e sugestões. Não a necessidade disso! Abraços.

    ResponderExcluir
  5. Boa noite Roberto,
    parabens pelo trabalho aqui e no site back...

    quando utilizo o exploit me aparece um erro de bind... nao resolve o ip... sabe o que pode ser?

    ResponderExcluir
  6. No caso teria que fazer uma pagina fake?

    se solicitado durante a navegação pela internet usando o navegador internet explorer,fiz isso navegando pela net e nao deu em nada,nao apareceu a menssagem pode me passar o codigo de uma pagina fake? pra mim analisar como seria o codico de fonte?com o codigo do script so pra estudo. agradeço!

    vou dar uma sugestão, blz?

    quando fizer um tuto faça com mais detalhes por exemplo.

    fazer a pagina feke ou colocar o codigo do script para pedir ao pessoal pra precionar F1 e dizer como alterar a mensagem para o português e etc..

    passao a passo, da pagina fake e codigos ate o fim do tuto.

    sei que é mais trabalho,seria bom fazer rsrsrs.

    não sei se intendeu o que tou querendo dizer.

    o tuto ta muito bom! Agradeço

    se for possivel manda um exemplo da pagina feke que salvo e analiso os codigo.

    Brigado.

    By André Araújo
    mail: andrearaujo@digizap.com.br

    ResponderExcluir
  7. Olá André Araújo,

    Exemplos de páginas, tem aos montes na net cara, basta uma pesquisadinha!

    As alterações do inglês para o português eu simplesmente alterei o próprio exploit, basta abri-lo com um editor de texto e fazer as devidas alterações.

    Ok, procurarei ser mais detalhista! :P
    Abraços e valeu por comentar!

    ®

    ResponderExcluir
  8. Link possession.........
    Primeira vez que comento nesse site você da muita ajuda só de explicar como acontece o ataque e como é feito......
    mas lhe digo que tudo o que procuram em seu blog são técnicas hackers para invadirem pcs alheios e roubar informações confidenciais...........

    Admiro seu trabalho sei que muitos não teriam a boa vontade que você tem mas cuidado com o que você ensina as pessoas..............
    Pois ainda nós encontramos num país muito atrasado no qual governo nem pessoas se preocupam realmente com falha em segurança com acessos indevidos,vulnerabilidade.

    Não sou ninguém pra julgar mas o conhecimento é dado aqueles que realmente se interessam é fazer algo melhorar é não a pessoas que só querem tudo pronto.

    (a época do prorat,turkojan,entre outros)
    Eles tem muito dessa mentalidade,eu era assim mas enfim é só uma dica mas continue com esse trabalho pois é assim que temos acesso a informações atualizadas e verídicas sem risco de errar.

    ResponderExcluir

To get the latest update of me and my works

>> <<