Captura de pantalla a través de instalación silenciosa enrutada de regreso al puerto 80

Navega tus respuestas
-1

Se hizo supuestamente una prueba de penetración a través del siguiente método. El probador envió a un usuario un hipervínculo que:

Instalé silenciosamente una pieza de software / código / etc a través del navegador con 0 interacción del usuario. Desgranó la aplicación silenciosamente a través de la interacción del usuario 0 Devuelva una captura de pantalla del escritorio completo del usuario a través del puerto 80 al probador.

Me está costando mucho creer que todo esto involucró la interacción de 0 usuarios. Podía entender un exploit para obtener el código en el sistema, pero en realidad no invocar el software. También pude ver cómo engañaban al usuario para que permitiera extensiones / complementos / lo que sea, pero no un despliegue completamente silencioso.

¿Alguien ha experimentado este tipo de prueba? ¿O has oído hablar de un exploit que permite esto?

EDITAR:

Era un correo electrónico enviado a través de notas de loto. El usuario hizo clic en el enlace. Fin de las acciones del usuario.

    
pregunta Joe Swindell 04.12.2014 - 18:56
fuente

3 respuestas

2

Un navegador que funciona correctamente no permitiría que esto sucediera. Pero existen vulnerabilidades que hacen que visitar la página sea la única interacción necesaria para lanzar software malicioso. Creo que CVE-2014-1776 es un ejemplo reciente de esto.

Aquí hay un análisis más detallado. El resumen al principio del artículo ofrece una descripción general:

  
  1. La página HTML carga un archivo SWF de Flash.
    2.   
  2. El Flash SWF ActionScript realiza un reparto de pila. Aquí se hace referencia a un objeto Flash Sound.
    3.   
  3. El control se transfiere a una función de JavaScript en la página HTML.
    4.   
  4. La función JavaScript rocía el montón, explotando la vulnerabilidad de uso después de la liberación en IE.
    5.   
  5. Se invocará una función de ActionScript activada por el tiempo en el archivo SWF, que tendrá acceso competitivo a la memoria de proceso.
    6.   
  6. La función ActionScript atraviesa la Tabla de direcciones de importación para los módulos kernel32.dll y ntdll.dll, almacenando la dirección de SetThreadContext y ZwProtectVirualMemory.
    7.   
  7. La función ActionScript sobrescribe el puntero de la tabla de función virtual (vftable) del objeto Sound, hace girar la pila con una serie de dispositivos de programación orientada al retorno (ROP) y ejecuta el código de shell.
    8.   
    
respondido por el Lawtonfogle 04.12.2014 - 19:03
fuente
1
  

¿Alguien ha experimentado este tipo de prueba? o escuchado de una hazaña que   permite esto?

Esto es totalmente posible.

Un atacante inteligente puede configurar un sitio para que, si hace clic en él una sola vez, en cuestión de segundos, pueda hacerse cargo de su computadora. Peor aún, es posible que no tenga que ir a su sitio. Si hace clic en un enlace que lleva a su sitio, podría "poseer" su computadora.

Cada vez que visita una página web, pueden ocurrir muchas actividades invisibles en su computadora. Por ejemplo, si el sitio web le da la bienvenida con su propio nombre, es porque la última vez que visitó, colocó un archivo de texto especial llamado cookie en su computadora. Si un ticker de acciones pasa o las puntuaciones de los deportes se actualizan automáticamente, el sitio podría estar ejecutando un script en su computadora. Esto es normal. Pero el hecho de que su computadora esté dispuesta a recibir y ejecutar instrucciones de un sitio web es lo que explotan los piratas informáticos.

No todos los ataques basados en la web son visibles para la víctima. Los piratas informáticos sofisticados usan trucos para ocultar lo que están haciendo. Pero estos ataques sofisticados son raros.

  

Ejemplo:

     

enlace

    
respondido por el Lucas NN 04.12.2014 - 19:22
fuente
0

La descarga y ejecución de software simplemente visitando un sitio sin interacción con el usuario generalmente se denomina descarga en automóvil . Las vulnerabilidades comunes son a través de los famosos plugins de Java o Flash o a través de errores del navegador como MS14-064 . Ni siquiera es necesario que haya malware instalado en la computadora, en lugar de eso, se puede ejecutar un RAT (Remote Access Toolkit) desde el navegador explotado .

Lamentablemente, este tipo de ataques son posibles y están en uso activo. Por lo general, se propagarán mediante enlaces en correos electrónicos (phishing), sitios web pirateados (a menudo a través de errores en CMS como wordpress o complementos con puertas traseras ) o publicidad maliciosa .

    
respondido por el Steffen Ullrich 06.12.2014 - 22:55
fuente

Lea otras preguntas en las etiquetas

¿Cómo funcionan los certificados SSL / TLS? ¿Intentar la inyección de mySQL es ilegal? [cerrado]