Herramientas para hackear

Application Hijacking en instaladores de Microsoft

Hola a tod@s.

Hace un tiempo le reporté a Microsoft una vulnerabilidad, o eso creía yo, en una serie de instaladores de aplicaciones o (más bien) visores de ciertos tipos de ficheros como son Visio, Power Points y un antiguo instalador de Virtual PC.

Me contestaron que al ser aplicaciones antiguas no iban a proceder a actualizarlas con algún tipo de parche, por lo que no harían nada con ellas. Así que me he animado a mostrarlo por aquí, para que veáis qué podría hacerse con esto… Se trata de Application Hijacking (no busquéis esto porque no lo encontrareis, me inventé ese nombre :P).

Les puse más o menos esto: los instaladores de Microsoft (que veréis más adelante) permiten a usuarios locales ganar privilegios pudiendo ejecutar un troyano copiandolo con el nombre de “msiexec.exe” en el mismo directorio que el instalador. Sería algo parecido a DLL Hijacking pero con ejecutables.

Les mostré esta prueba de concepto:

Copia el malware como “msiexec.exe” en el mismo directorio que el instalador y ejecuta el instalador. Los instaladores vulnerables son: ppviewer.exe, vpc2007setup.exe, visioviewer.exe and PowerPointViewer.exe

$ md5sum ppviewer.exe vpc2007setup.exe visioviewer.exe PowerPointViewer.exe
1facc59a11680d1f828ed5118a0270
0171c34bb463a2fe2e2e38c5c59237
b76ccc3167042cd34cb389a7b5a2ad
9b4b476488674ae103d2e97cd88cd2

Veamos una demo con  vpc2007setup.exe

Para detectarlo utilizaremos el Process Monitor con una serie de filtros:

vpc2007setup.exe

Renombramos CMD.exe a msiexec.exe:

msiexec.exe
msiexec.exe

Podemos ver las propiedades del instalador:

Y ejecutamos el instalador.

Application Hijacking

Se abre el cmd.exe ejecutado por el instalador.

Las aplicaciones vulnerables a “Application Hijacking” las podéis encontrar aquí.

Ejemplo con ppviewer

ppviewer.exe

Ejemplo con visioviewer

visioviewer

Ejemplo con PowerPointViewer

PowerPointViewer

Imaginaros un fichero comprimido con el instalador y otro con un nombre como “msiexec.exe”, desconfiad de él, NO lo ejecutéis nunca. Igual que ocurre esto en instaladores de Microsoft puede ocurrir en instaladores de otros fabricantes. Ahí lo dejo.

Hasta otra!!

Author image

About Rafa.Pedrero

Mi familia, la ciberseguridad y el skate, son mis grandes pasiones.
  • Madrid
comments powered by Disqus