MS lnk vulnerabilidad – CVE-2010-2568

Se hace público el exploit de la última (y grave) vulnerabilidad en Windows. Es una forma totalmente nueva de ejecutar código en Windows cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo. El fallo se aprovecha a través de archivos LNK (accesos directos) y supone un duro varapalo para Microsoft, pues los atacantes han conseguido descubrir la manera de eludir todas las medidas que se han tomado contra la ejecución automática en Windows.
Ya se han hecho públicos todos los detalles y la posibilidad de aprovechar el fallo está al alcance de cualquiera. La situación es, por tanto, muy grave. Se espera pues un incremento de malware que se propague por dispositivos extraíbles puesto que en estos momentos (y hasta que Microsoft saque un parche), todos los Windows, independientemente de que esté actualizados y bien configurados, podrían llegar a ejecutar un fichero de forma «silenciosa» si se inserta un dispositivo extraíble como una llave USB.
Acá les dejo un video aprovechando este exploit

Por ahora, la única forma de que la vulnerabilidad no funcione es realizando el siguiente cambio (aunque se perderá funcionalidad, por lo que es conveniente realizar una copia de seguridad para restaurar el valor cuando el problema esté solucionado):

* Poner en blanco el valor predeterminado (default) de la rama del
registro:
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

* Detener y deshabilitar el servicio «cliente web» (WebClient)

No está de más recordar que no se deben usar dispositivos extraíbles de dudosa procedencia. Aun así, se deben tomar las precauciones oportunas incluso contra los dispositivos en los que se confíe.
Lo más probable es que Microsoft publique el parche en cuanto esté disponible, independientemente de su ciclo de actualizaciones. Ahora que el problema es público y puede ser aprovechado por cualquiera, suponemos que muy posiblemente se adelante con respecto a la siguiente tanda de parches (programada para el 10 de agosto) o se retrase levemente con respecto a ésta. Esperamos en cualquier caso que no haya que esperar hasta septiembre para obtener una solución oficial.
El documento con el Workaround provisorio aqui //How mitigate?http://j.mp/9Zbh6E

Metasploit Installation Ubuntu

Dejo esta pequeña guía para instalar esta aplicación para testear vulnerabilidades.

Nos basamos en la wiki de Rapid7.

Primero instalamos las dependencias de Ruby
sudo apt-get install ruby libyaml-ruby libdl-ruby libiconv-ruby ri rubygems ruby-dev ruby1.8-dev build-essential

Instalamos el cliente de subversion si no lo tenemos
sudo apt-get install subversion

Luego instalamos las dependencias de Ruby
sudo apt-get build-dep ruby
sudo apt-get install ruby-dev libpcap-dev

Para utilizar la funcionalidad de base de datos instalamos
sudo apt-get install rubygems libsqlite3-dev
sudo gem install sqlite3-ruby

o MySQL
sudo apt-get install rubygems libmysqlclient-dev
sudo gem install mysql

Yo elegí sqllite.

Despues necesitamos bajar el Framework.

Si bien podemos bajarlo via svn con
svn co https://www.metasploit.com/svn/framework3/trunk/

En mi caso luego de errores, no estaba disponible el servicio decidí bajarlo directamente el binario de 32 bits:
wget http://www.metasploit.com/releases/framework-3.4.1-linux-i686.run

y lo instalamos:

sudo sh framework-3.4.1-linux-i686.run
Verifying archive integrity... All good.
Uncompressing Metasploit Framework v3.4.1-release Installer (32-bit)........

----

Would you like to automatically update Metasploit?
AutoUpdate? (yes/no) > yes

Would you like to update Metasploit right now?
Update? (yes/no) > yes

Updating Metasploit from https://metasploit.com/svn/framework3/trunk...
---
Actualizado a la revisión 9919.

Launch the Metasploit console by running 'msfconsole'

Exiting the installer...

Eso es todo y a aprender a usarlo