Vulnerabilità Windows vCard (VCF) sfruttata con Metasploit Framework

01/02/2019

exploit Microsoft VCard VCF

In merito alla vulnerabilità 0day relativa a Windows vCard (VCF) trattata a metà gennaio 2019 ma non ancora risolta da Microsoft, cominciano ad emergere sul web nuovi hotwo su come sfruttare la vulnerabilità a partire dai dettagli rilasciati da John Page e pubblicamente accessibili su Exploit-DB.

Dal PoC all’Exploit pratico

Lo scopo è quello di includere un file VBScript malevolo nella sezione email del file VCF sfruttando la vulnerabilità “Mailto: HTML Link Injection RCE” scoperta da John Page. A tal proposito, come riporta hackingarticles, viene in ausilio il framework metasploit, tramite msfvenom, per generare un payload di tipo VBS da consegnare alla vittima insieme al file VCF conentente l’HTML injection. Di seguito un esempio:

<a href="raj\shell.vbs">raj@gmail.com</a>

In questo modo il collegamento di mailto punterà al file VBS specificato su href e si presenterà nel seguente modo:

Il sistema provvederà ad avvisare l’utente che l’indirizzo email non è valido ma verrà ugualmente consentito di forzare l’inserimento in rubrica. A questo punto il payload contenuto nel file VBS aprirà una nuova sessione meterpreter che consentirà all’attaccante di avere accesso alla macchina della vittima.

Consigli del CERT-PA

Non essendo ad oggi disponibile una patch, va fatto presente che la vulnerabilità potrebbe essere sfruttata per campagne di distribuzione di malware massive, soprattutto ora che sono disponibili le guide per sfruttare la vulnerabilità. Si consiglia vivamente di non aprire file ricevuti da fonti sconosciute e di attuare azioni di mitigazione/informative verso gli utenti nell’attesa del rilascio della patch ufficiale che dovrebbe essere previsto per aprile 2019 salvo anticipazioni.