Si sta chiacchierando abbastanza in questi giorni sul recente security advisory (981374) di Microsoft relativo allo zero day che circola in rete e che sfrutta una vulnerabilità di IE per eseguire codice arbitrario da remoto. Naturalmente è già possibile testare la vulnerabilità con metasploit e questo PoC che rende bene l’idea di come funzionano le cose. Il PoC non è altro che un comune file .hlp all’interno del quale è inserita una macro che va in esecuzione alla pressione del tasto F1 (dietro suggerimento del message box di alert) lanciando la calcolatrice di windows.
Creare un file .hlp ad hoc è abbastanza semplice. Si può creare un nuovo file oppure decompilare e modificare quello del PoC.
Gli ingredienti sono:
- un decompilatore hlp (helpdeco, a riga di comando).
- un editor hlp (Microsoft Help Workshop, anche se un po’ datato svolge egregiamente il suo lavoro).
La macro da editare è quella evidenziata, in questo caso ho scelto di lanciare cmd.exe sull’host target.
Test eseguito su Windows XP SP3 IE7
