Servicio Bonjour ‘mDNSResponder.exe’: escalada de privilegios
Posted inInformatica Seguridad Informatica

Servicio Bonjour ‘mDNSResponder.exe’: escalada de privilegios

No Comments
Spread the love
Listen to this article

Resumen del Exploit

El exploit de la base de datos de exploits con ID 52061 describe una vulnerabilidad en el servicio Bonjour (mDNSResponder.exe) debido a una ruta de servicio sin comillas en Windows. Esta vulnerabilidad permite a un atacante local insertar código arbitrario en la ruta del servicio sin comillas y escalar privilegios.

Paso a Paso para Explotar la Vulnerabilidad

  1. Identificación del Servicio Vulnerable:
  • Ejecute el comando para listar servicios con rutas sin comillas:
    shell wmic service get name,displayname,pathname,startmode | findstr /i "auto" | findstr /i /v "c:\windows\" | findstr /i /v """
  • Identifique el servicio mDNSResponder.exe con la ruta sin comillas.
  1. Preparar el Código Malicioso:
  • Cree un archivo ejecutable malicioso y colóquelo en una ubicación que se ajuste en la ruta sin comillas.
  1. Reinicio del Servicio:
  • Reinicie el sistema o el servicio vulnerable para ejecutar el archivo malicioso.

Resultado Final

El atacante puede ejecutar código con privilegios elevados, comprometiendo el sistema.

Para más detalles, puede visitar el enlace del exploit.

Acciones que Puede Realizar un Atacante tras Escalar Privilegios

Una vez que un atacante ha escalado privilegios, puede realizar varias acciones para comprometer aún más el sistema:

  1. Instalación de Software Malicioso:
  • Puede instalar rootkits, keyloggers o malware para mantener acceso persistente y espiar las actividades del usuario.
  1. Exfiltración de Datos Sensibles:
  • Acceder y extraer datos confidenciales como contraseñas, información financiera o datos personales.
  1. Desactivación de Seguridad:
  • Desactivar antivirus y otras medidas de seguridad para facilitar futuras intrusiones.
  1. Creación de Usuarios Administrativos:
  • Crear cuentas de usuario con privilegios administrativos para facilitar el acceso futuro sin ser detectado.
  1. Movilidad Lateral:
  • Acceder a otros sistemas en la red, comprometiendo así múltiples máquinas.

Cómo lo Hace Paso a Paso

  1. Persistencia:
  • Instala un backdoor para mantener el acceso. Esto se puede hacer modificando el registro de Windows o utilizando técnicas de carga de DLL maliciosas.
  1. Desactivación de Seguridad:
  • Usa herramientas como netsh para desactivar el firewall:
    shell netsh advfirewall set allprofiles state off
  1. Acceso a Datos:
  • Usa herramientas como Mimikatz para extraer contraseñas en texto claro de la memoria.
  1. Creación de Usuarios:
  • Crea un usuario administrativo con el comando:
    shell net user [nombre_usuario] [contraseña] /add net localgroup administrators [nombre_usuario] /add
  1. Movilidad Lateral:
  • Escanea la red para encontrar otros dispositivos vulnerables usando herramientas como nmap.

Estas acciones permiten al atacante tener un control total sobre el sistema y la red comprometida, facilitando robos de información y ataques adicionales.

Funciones del mDNSResponder.exe

El mDNSResponder.exe es un componente del servicio Bonjour, desarrollado por Apple. Este servicio proporciona las siguientes funciones:

  1. Resolución de Nombres de Host:
  • Permite que los dispositivos encuentren y conecten entre sí en una red local sin necesidad de configurar un servidor DNS.
  1. Descubrimiento de Servicios:
  • Facilita la detección de servicios como impresoras, servidores de archivos, y otros dispositivos en una red local.
  1. Configuración Automática de Red:
  • Simplifica la configuración de red para dispositivos y servicios, permitiendo la auto-configuración y auto-descubrimiento.
  1. Soporte Multiplataforma:
  • Funciona en varios sistemas operativos, incluyendo macOS, Windows y Linux.

Ejemplo de Uso

En una red doméstica, Bonjour permite que una computadora encuentre una impresora compatible sin necesidad de configuración manual, haciendo que la impresora esté disponible automáticamente para todos los dispositivos de la red.

Vulnerabilidad y Exploit

La ruta del servicio sin comillas en mDNSResponder.exe permite que un atacante local coloque un archivo ejecutable malicioso en una ruta intermedia, logrando así ejecutar código con privilegios elevados al reiniciar el sistema o el servicio.

Para más detalles, puedes visitar el enlace del exploit.

0 0 votos
Article Rating
Suscribir
Notificar de
guest
0 Comments
Más antiguo
La mas nueva Más votado
Comentarios en línea
Ver todos los comentarios