Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
11 de Octubre, 2014    General

El Escritorio Movistar, un servicio con ruta sin comillas más espacios... y hasta dentro (escalado de privilegios local)

Hoy vamos a ver una vulnerabilidad que Gjoko 'LiquidWorm' Krstic (@zeroscience) reportó a Telefónica el 23 de septiembre y que, después de días de absoluta ignorancia, ha decidido publicar (fuente aquí). 

Afecta a la versión 8.7.6.792 del gestor de conexiones 'Escritorio Movistar', aunque yo lo he probado en la versión 8.6.5.594 y también es vulnerable:



En concreto es un fallo en el servicio TGCM_ImportWiFiSvc que no entrecomilla la ruta del ejecutable que llama:

C:>sc qc TGCM_ImportWiFiSvc
[SC] QueryServiceConfig CORRECTO
NOMBRE_SERVICIO: TGCM_ImportWiFiSvc
        TIPO               : 10  WIN32_OWN_PROCESS
        TIPO_INICIO        : 2   AUTO_START
        CONTROL_ERROR      : 1   NORMAL
        NOMBRE_RUTA_BINARIO: d:Program Files (x86)2MovistarEscritorio MovistarImpWiFiSvc.exe
         GRUPO_ORDEN_CARGA  :
        ETIQUETA           : 0
        NOMBRE_MOSTRAR     : TGCM_ImportWiFiSvc
        DEPENDENCIAS       :
        NOMBRE_INICIO_SERVICIO: LocalSystem
C:>icacls "d:Program Files (x86)2MovistarEscritorio MovistarImpWiFiSvc.exe"
d:Program Files (x86)2MovistarEscritorio MovistarImpWiFiSvc.exe BUILTINAdministradores:(I)(F)
                                                                    NT AUTHORITYSYSTEM:(I)(F)
                                                                    NT AUTHORITYUsuarios autentificados:(I)(M)
                                                                    BUILTINUsuarios:(I)(RX)
Se procesaron correctamente 1 archivos; error al procesar 0 archivos

Es la vulnerabilidad conocida como "Unquoted Service Paths" o también "Trusted Path Privilege Escalation" y puede permitir que un servicio de Windows procese cualquier programa que esté antes de un espacio en su ruta sin entrecomillar. En nuestro caso:

    d:Program.exe Files (x86)2MovistarEscritorio MovistarImpWiFiSvc.exe
    d:Program Files (x86)2MovistarEscritorio.exe MovistarImpWiFiSvc.exe

Para la prueba de concepto crearemos un fichero batch que luego haremos ejecutable y que llamará silenciosamente al Notepad:


Después simplemente pondremos Escritorio.exe en su ruta correspondiente:


Y al reiniciar el servicio veremos que ejecuta nuestro binario:

D:Program Files (x86)2Movistar>net stop TGCM_ImportWiFiSvc
El servicio de TGCM_ImportWiFiSvc está deteniéndose.
El servicio de TGCM_ImportWiFiSvc se detuvo correctamente.
D:Program Files (x86)2Movistar>net start TGCM_ImportWiFiSvc
El servicio no está respondiendo a la función de control.
Puede obtener más ayuda con el comando NET HELPMSG 2186.


Si en vez de ser un simple Notepad ponemos un script que cambie la contraseña del administrador local o por ejemplo un payload para una sesión de Meterpreter, cuando reinicie nuestro equipo (con Windows 7) se ejecutará como SYSTEM y habremos primero escalado privilegios y luego enteramente comprometido la máquina.

Además existe desde hace tiempo un módulo de Metasploit que se aprovecha de este fallo: http://www.rapid7.com/db/modules/exploit/windows/local/trusted_service_path

Como veis este tipo de vulnerabilidades que aparentemente son tan tontas y sencillas de explotar son también muy peligrosas. Además aunque son bastante viejas parece que siguen vigentes en nuestro días... si ejecutáis el siguiente comando seguro que comprobaréis que el servicio del Escritorio Movistar no es el único afectado actualmente:

wmic service get name,displayname,pathname,startmode |findstr /i "auto" |findstr /i /v "c:windows" |findstr /i /v """
Acunetix WVS Scheduler v8 AcuWVSSchedulerv8 D:Program Files (x86)2AcunetixWeb Vulnerability Scanner 8WVSScheduler.exe
                                Auto
Intel(R) Dynamic Application Loader Host Interface Service jhi_service C:Program Files (x86)IntelIntel(R) Management Engine ComponentsDALjhi_service.exe
                                Auto
Intel(R) Management and Security Application Local Management Service   LMS C:Program Files (x86)IntelIntel(R) Management Engine ComponentsLMSLMS.exe
                                Auto 
Privacyware network service PFNet C:Program Files (x86)PrivacywarePrivatefirewall 7.0pfsvc.exe
                                Auto
TGCM_ImportWiFiSvc TGCM_ImportWiFiSvc d:Program Files (x86)2MovistarEscritorio MovistarImpWiFiSvc.exe
                                Auto

Por último, si quieres solucionar manualmente esta vulnerabilidad en vez de esperar sentado a que el fabricante publique un parche, edita el registro y busca el servicio en cuestión en HKLMSYSTEMCurrentControlSetservices para ¡¡¡poner las malditas comillas!!!.
Palabras claves ,
publicado por alonsoclaudio a las 20:35 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Marzo 2024 Ver mes siguiente
DOLUMAMIJUVISA
12
3456789
10111213141516
17181920212223
24252627282930
31
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad