Hola a tod@s.
Hace un tiempo le reporté a Microsoft una vulnerabilidad, o eso creía yo, en una serie de instaladores de aplicaciones o (más bien) visores de ciertos tipos de ficheros como son Visio, Power Points y un antiguo instalador de Virtual PC.
Me contestaron que al ser aplicaciones antiguas no iban a proceder a actualizarlas con algún tipo de parche, por lo que no harían nada con ellas. Así que me he animado a mostrarlo por aquí, para que veáis qué podría hacerse con esto… Se trata de Application Hijacking (no busquéis esto porque no lo encontrareis, me inventé ese nombre :P).
Les puse más o menos esto: los instaladores de Microsoft (que veréis más adelante) permiten a usuarios locales ganar privilegios pudiendo ejecutar un troyano copiandolo con el nombre de “msiexec.exe” en el mismo directorio que el instalador. Sería algo parecido a DLL Hijacking pero con ejecutables.
Les mostré esta prueba de concepto:
Copia el malware como “msiexec.exe” en el mismo directorio que el instalador y ejecuta el instalador. Los instaladores vulnerables son: ppviewer.exe, vpc2007setup.exe, visioviewer.exe and PowerPointViewer.exe
$ md5sum ppviewer.exe vpc2007setup.exe visioviewer.exe PowerPointViewer.exe
1facc59a11680d1f828ed5118a0270
0171c34bb463a2fe2e2e38c5c59237
b76ccc3167042cd34cb389a7b5a2ad
9b4b476488674ae103d2e97cd88cd2
Veamos una demo con vpc2007setup.exe
Para detectarlo utilizaremos el Process Monitor con una serie de filtros:
Renombramos CMD.exe a msiexec.exe:
Podemos ver las propiedades del instalador:
Y ejecutamos el instalador.
Se abre el cmd.exe ejecutado por el instalador.
Las aplicaciones vulnerables a “Application Hijacking” las podéis encontrar en la web de microsoft.
Ejemplo con ppviewer
Ejemplo con visioviewer
Ejemplo con PowerPointViewer
Imaginaros un fichero comprimido con el instalador y otro con un nombre como “msiexec.exe”, desconfiad de él, NO lo ejecutéis nunca. Igual que ocurre esto en instaladores de Microsoft puede ocurrir en instaladores de otros fabricantes. Ahí lo dejo.
Hasta otra!!