Cuaderno de OsCaR :: inSiD3

En Windows, cuando instalas Fiefox te deja en el registro un manejador de protocolo (handler protocol) específico (firefoxurl://) que puede ser explotado (vía Explorer) por páginas web maliciosas para ocasionar algún daño o apoderarse de tu máquina ejecutando codigo o algun comando del sistema.

Al parecer, los expertos se ponen de acuerdo en qué navegador es más culpable: si el Internet Explorer o el Firefox.
Su descubridor, Thor Larholm lo ha presentado como un 0-day para Explorer (y así lo ve también Security Focus), mientras en Secunia lo consideran un fallo de Firefox. También podemos elegir la vía intermedia y calificarlo como un scripting cruzado entre navegadores, en que Firefox es el vector de ataque y Explorer falla al validar una entrada…

Pero poco nos importa el culpable. Lo preocupante es que se trata un fallo crítico y sin parche.
Por eso, si respondes a las condiciones de riesgo (Windows + Explorer + Firefox 2+), prueba la demo. Si resulta positiva, puedes proceder a borrar del registro la(s) entrada(s) peligrosa(s).

Para ello se recomienda teclear lo siguiente (recordar hacer primero una copia del registro por lo q pueda pasar):

reg delete HKCR\FirefoxHTML /f
reg delete HKCR\FirefoxURL /f
reg delete HKCR\Firefox.URL /f

Para ver otro ejemplo de como se puede ejecutar la consola cmd.exe puedes hacerlo desde aqui: Remote Command Execution here (cmd.exe is launched)

:: Fuentes: Kriptopolis - Larholm - Secunia - SecurityFocus

Se ha descubierto una vulnerabilidad en WinPcap que podría ser aprovechada por un atacante local para ejecutar código arbitrario con privilegios de sistema. Además existe un exploit público para aprovecharse de esta vulnerabilidad. Por tanto, programas como Snort, tcpdump o WireShark se ven afectados por esta escalada de privilegios, ya que utilizan esa libreria.
WinPcap es la herramienta estándar para acceder a la conexión entre capas de red de entornos Windows. Se trata de un “port” para Windows de la librería ‘libpcap’ y es necesaria para ejecutar programas de tipo “sniffer” que modifican el comportamiento de la interfaz de red para poder actuar en modo promiscuo, entre otras posibilidades.
El fallo se da en el controlador ‘npf.sys’ a la hora de validar los datos manejados en los parámetros Irp pasados a IOCTL 9031 (BIOCGSTATS). Un atacante podría aprovechar esta vulnerabilidad enviando parámetros especialmente manipulados y sobrescribiendo la memoría del núcleo.

Si un usuario local sin privilegios encuentra que el dispositivo ha sido utilizado y no se ha descargado el módulo (despues de haberse ejecutado WireShark por ejemplo, o si está en el inicio del sistema), el atacante podría ejecutar la prueba de concepto publicada y obtener privilegios totales sobre la máquina víctima.

Esta vulnerabilidad afecta a las versiones 3.1 y 4.1 beta de WinPcap sobre sistemas Windows, pero ha sido solventada en la version 4.0.1 de WinPcap.

El fallo se descubrió el 16 de mayo de 2007 por iDefense, pero se publicó el 9 de julio de 2007.

El exploit público podemos verlo aqui.

:: Fuente: Hispasec