Malicious .hlp file & windows remote exploitation

Pada tanggal 26 February 2010, Maurycy Prodeus mengeluarkan public disclosure terhadap bug internet explorer 6, 7, dan 8 yang dapat di-eksploitasi menggunakan malicious .HLP file. Berikut ini pernyataan dari maurycy,

It is possible to invoke winhlp32.exe from Internet Explorer 8,7,6
using VBScript. Passing malicious .HLP file to winhlp32 could allow
remote attacker to run arbitrary command.
Additionally, there is a stack overflow vulnerability in winhlp32.exe

Dari public disclosure tersebut dapat dipahami bahwa VBScript dapat digunakan untuk mengeksekusi winhlp32.exe dengan suatu parameter, yaitu:

MsgBox(prompt[,buttons][,title][,helpfile,context])

Public disclosure maurycy membuktikan dua hal, yang pertama ketika VBScript memproses fungsi MsgBox dengan parameter berupa file .HLP yang telah dimodifikasi, akan muncul MessageBox. Jika korban menekan tombol F1, maka malicious code (kode-kode berbahaya) dapat dijalankan secara remote pada komputer korban. Hal ini masuk dalam kategori client-side exploitation.

PoC (Proof Of Concept) yang kedua menunjukan jika isi parameter helpfile sangat panjang maka akan mengakibatkan stack-based buffer overflow. Namun berdasarkan keterangan dari maurycy, win32hlp.exe pada windows XP di compile menggunakan feature /GS sehingga tidak dapat di-eksploitasi (pernyataan tersebut cukup membingungkan, tapi akan kita terima untuk saat ini 🙂 ).

Berikut ini PoC dari maurycy untuk kedua hal diatas yang bisa dilihat dari sini,

//

//

Dari PoC diatas kita dapat melihat bahwa malicious .hlp file dapat diakses dari \\184.73.14.110\PUBLIC\test.hlp yang merupakan samba share dari server dengan alamat IP 184.73.14.110.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s