Hace unas semanas, me invitaron a dar una charla en la quinta edicion de Linux Week que se realizo en la semana del lunes 15 hasta el viernes 19 de marzo en las instalaciones de la PUCP. Desde aqui quiero felicitar a los organizadores y agradecerles por la invitacion y el buen trato.
El tema que toque en esa oportunidad fue ataques de lado cliente en donde basicamente hablamos sobre las tendencias de los atacantes, se expuso algunos de los "ataques" mas frecuentes que vienen ocurriendo para el robo de credenciales como lo son el Phishing y el Pharming. Lo ultimo, para que los asistentes tengan conciencia de las consecuencias si no se tiene algunos criterios minimos al momento de ingresar a una url no conocida o aceptar un archivo posiblemente malicioso.
Terminamos hablando un poco sobre los relativamente recientes ataques contra Google, la denonimada "Operacion Aurora". Fue en este ultimo punto donde realice una pequeña demo donde explote la vulnerabilidad antes mencionada, una vulnerabilidad de corrupcion de memoria que afecta a Internet Explorer
en sus versiones 6 y 7. Mediante esta, un atacante crea un HTML con un codigo javascript malicioso, que al ser interpretado por un navegador afectado, permitira tomar control total del equipo. Para probar el exploit, use Metasploit.
Una vez explotada la vulnerabilidad, el payload utilizado dependera de la vida del proceso asociado. Esto es debido a que una vez llamada la shellcode, la sesion meterpreter es cargada en el espacio de memoria asignado al proceso explotado, en este caso, iexplorer.exe. Si el navegador se cuelga por el ataque o si la victima simplemente deja de navegar y cierra el Internet Explorer, se libera la memoria, ergo, perdemos la sesion.
Para evitar este escenario, metasploit nos facilita la vida con la funcionalidad de migrar de proceso. Podemos automatizar esto escribiendo un script para que una vez conseguidos los privilegios, creemos un nuevo proceso y migremos a este. Tan solo seteamos el valor AutoRunScript.
Aqui les dejo el script utilizado
Ah, y la presentacion.
Saludos!
MVelazco.
P.D: Tildes omitidas intencionalmente
No hay comentarios:
Publicar un comentario