Encontrada vulnerabilidade na Microsoft Management Console [com prova de conceito passo a passo]

A Check Point Research, a arma contra Threat Intelligence da descobriu várias vulnerabilidades na consola Microsoft Management Console (MMC) que permite que os cibercriminosos propaguem cargas maliciosas. A Microsoft Management Console tem como objetivo fornecer uma plataforma programada para criar e hospedar aplicações capazes de gerir ambientes baseados em Microsoft Windows e fornecer ao utilizador uma

A Check Point Research, a arma contra Threat Intelligence da descobriu várias vulnerabilidades na consola Microsoft Management Console (MMC) que permite que os cibercriminosos propaguem cargas maliciosas. A Microsoft Management Console tem como objetivo fornecer uma plataforma programada para criar e hospedar aplicações capazes de gerir ambientes baseados em Microsoft Windows e fornecer ao utilizador uma gestão simples, consistente e integrada através da utilização de uma interface e de um modelo de administração.
Descrição das vulnerabilidades:

  1. Várias vulnerabilidades XXS despoletadas devido a uma fraca configuração WebView
  1. A Microsoft Management Console (MMC) possui uma componente Snap-In integrada que, por sua vez, contém diversos mecanismos, como é o caso do ActiveX Control, Link to Web Address, entre outros.

    a) Quando um cibercriminoso escolhe o snap-in do Link para Web Address, torna-se capaz de inserir um URL no seu servidor, portador de uma página html com carga maliciosa. Ao abrir o ficheiro malicioso .msc, a web-view é aberta (dentro da janela do MMC) e a carga maliciosa é executada.
    A Check Point Software conseguiu inserir um link de URL, portador de carga maliciosa, que é redirecionado para um servidor SMB capaz de capturar o utilizador NTLM hash. Para além disso, também se torna possível executar script VBS no host das vítimas através da web-view já mencionada.

  2. b) Um cibercriminoso escolhe o ActiveX Control snap-in (todos os controlos ActiveX são vulneráveis e guarda-o no ficheiro (.msc file). No ficheiro .msc, na secção StringsTables, o criminoso altera o terceiro valor da string para um url sob o seu controlo e que contenha uma página html com carga maliciosa. As menções nas seções (acima referidas) – A Check Point Software conseguiu inserir um link de URL, portador de carga maliciosa, que é redirecionado para um servidor SMB capaz de capturar o utilizador NTLM hash.
    Para além disso, também se torna possível executar script VBS no host das vítimas através da web-view já mencionada.
    Ao abrir o ficheiro malicioso .msc, a web-view é aberta (dentro da janela do MMC) e a carga maliciosa é executada.
    1. Vulnerabilidade do Self XXE graças à incorreta configuração do XML parse

    A vítima abre o MMC e escolhe o evento “viewer snap-in” e clica em “Ação” e depois em “Import Custom View”. Assim que o ficheiro malicioso XML é escolhido (detentor de carga XXE) qualquer ficheiro proveniente da vítima que desempenha a função de host, é enviado para o criminoso.

Prova de conceito

1) Link para o snap-in do endereço da Web entre sites (XSS):

O invasor adiciona um novo snap-in:

 

A vítima escolhe um link para o endereço da Web em:

 

O invasor digita o caminho para o servidor que contém a carga maliciosa:

 

O invasor salva o arquivo .msc e envia para a vítima:

 

O arquivo .msc malicioso contém o caminho para o servidor do invasor:

 

Quando a vítima abre o arquivo malicioso .msc, o código VBS é executado:

 

2) Snap-ins do controle ActiveX: (exemplo do navegador Adobe Acrobat DC):

o invasor adiciona um novo snap-in:


O invasor escolhe um snap-in de controle ActiveX:

 

O mecanismo de controle ActiveX é então escolhido (navegador Adobe Acrobat DC como exemplo):

 

O invasor salva o arquivo .msc e envia para a vítima:

 

O arquivo .msc malicioso que contém o caminho para o servidor do invasor:

 

Quando a vítima abre o arquivo malicioso .msc, o código VBS é executado:

 

3) Vulnerabilidade XXE devido ao analisador XML configurado incorretamente:

Adicione um snap-in:

 

O invasor escolhe o snap-in do visualizador de eventos:

 

A vítima seleciona “Ação” e, em seguida, clica na opção “Importar visualização personalizada”:

 

A vítima seleciona o XML malicioso enviado pelo atacante

 

O XML malicioso que contém a carga XXE lerá o conteúdo do arquivo c: \ windows \ win.ini e enviará ao servidor remoto por meio da solicitação HTTP / GET:

 

 

Que por sua vez ligará para xml.dtd:

 

O conteúdo do arquivo desejado é enviado do aplicativo de console do cliente para um servidor remoto:

Autores
O seu comentário...

*

Top