Usando la última vulnerabilidad de Internet Explorer con Metasploit

Como ya se sabe se encuentra in-the-wild un exploit para una vulnerabilidad 0-day para todas las versiones de Internet Explorer. A continuación detallo la utilización de este exploit al utilizarlo con Metasploit, quien ya ha publicado el código desde hace algunos días.

Lo primero que debe hacerse es actualizar la herramienta con msfupdate y se verá que se descarga el código del exploit mencionado: exploit/windows/browser/ms11_xxx_ie_css_import.rb (MS11-XXX indica que la actualización saldrá en algún momento del 2011).
A partir de ahora ya lo podremos utilizar con el comando use y también se deberá seleccionar el payload preferido, como puede ser alguna shell o meterpreter:

Luego se configuran los parámetros obligatorios del exploit y del payload seleccionado. En este caso la dirección del servidor y el localhost, que se corresponden con la IP de nuestro equipo atacante:

Se ejecuta el exploit normalmente y Metasploit nos entrega la URL a la cual la víctima deberá ingresar:

Si se utiliza alguna técnica de ingeniería social para convencerlo, la víctima terminará ingresando a la URL mencionada, explotando la vulnerabilidad, ocasionando una denegación de servicio en el explorador e inyectando un proceso en el mismo. En este caso, para la prueba se utilizó Internet Explorer 8.0:

Nota: al intentar este procedimiento sobre Internet Explorer 6.0 que también es vulnerable, sólo he logrado el cuelgue del navegador pero la inyección del proceso no se lleva a cabo. Por supuesto, si se realiza sobre un navegador distinto de Internet Explorer, no se obtiene ningún resultado.

Cuando el usuario abre la URL en su navegador, desde Metasploit podremos seguir dicho comportamiento y ver la inyección del proceso (llamado notepad.exe) en Internet Explorer:

A partir de ese momento ya se tiene activa la sesión en el equipo víctima, con los mismos permisos que el usuario afectado y por eso la permanente necesidad de utilizar el sistema con permisos restringidos, sobre todo si se trata de un entorno corporativo.

Si se observa los programas activos, efectivamente se ve el Internet Explorer con el proceso inyectado (en este caso notepad.exe con ID 4428):

Y a partir de este momento se puede utilizar la sesión establecida en el equipo víctima, por ejemplo para realizar un listado de archivos:

Hay que tener en cuenta que la mayoría de los antivirus ya detectan el exploit utilizado por Metasploit (el original) por lo que si el cliente ingresa a la URL con el antivirus habilitado es posible que se percate del ataque.

Más allá de ese detalle, Metasploit nos facilita mucho el trabajo de explotar una vulnerabilidad cualquiera y permite acceder a equipos que no han sido actualizados y, peor aún en este caso, cuando la actualización ni siquiera existe aún.

Cristian de la Redacción de Segu-Info