04 octubre, 2013

Exploit ie_setmousecapture_uaf

Hola a tod@s

Como todos sabemos, el pasado mes de septiembre Microsoft anunciaba un nuevo 0-day para Internet Explorer el CVE-2013-3893 que afecta a todas las versiones desde la 6 a la 11. La vulnerabilidad permite a un atacante la ejecución remota de código debido a una mala implementación de SetMouseCapture en mshtml.dll.

Para probar esta vulnerabilidad hemos realizado esta prueba de concepto. Para ello he utilizado Kali que obviamente actúa como atacante y como víctima Windows 7 SP1 con Office 2007.

Antes de nada, tenéis que descargar e instalar el modulo: http://www.exploit-db.com/download/28682

 
Imagen 1: Atacante



Imagen 2: Víctima




Microsoft a fecha que se escribió este post no ha publicado ningún parche, la única solución es instalarte un Fix-it o estas jodi**.





No seáis malos.

0 comentarios:

Publicar un comentario