sábado, julio 17, 2010

MITM https con Certificados Falsos a nivel de usuario en Firefox (2 de 3)

*********************************************************************************************
- MITM https con Certificados Falsos a nivel de usuario en Firefox (1 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (2 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (3 de 3)
Autor: Enrique Rando
*********************************************************************************************

Paso 2: Analizar los cambios en el equipo

La excepción que acabamos de añadir se almacena en el fichero de texto “cert_override.txt” que, en Windows XP, se almacena en:

%USERPROFILE%\Datos de programa\Mozilla\Firefox\Profiles\

En Windows 7, este fichero se encuentra situado en la ruta:

c:\users\\appdata\roaming\mozilla\firefox\profiles\


Figura 5: Fichero cert_override.txt en Windows 7

Si se desea obtener la información sobre los perfiles, se puede consultar el fichero:

%USERPROFILE%\Datos de programa\Mozilla\Firefox\profiles.ini

En el caso que nos ocupa, el fichero cert_override.txt quedó así:


Figura 6: cert_override.txt con excepción añadida

Si alguien desea saber qué campos componen las líneas del fichero, cómo se codifican, etc., puede obtener información en la web de Mozilla: Cert_Override.txt

De todos modos, para lo que vamos a hacer no necesitamos saber más, ya que será suficiente con clonar el comportamiento en la máquina víctima suponiendo el comportamiento que podría tener un malware. Exactamente. Imagina que eres un virus. O un programa que se ejecuta gracias a una vulnerabilidad del lector de PDF de turno. ¿Qué harías?

Paso 3: Replicando el comportamiento

Para poner las cosas aún más difíciles, supongamos que tienes que arreglártelas sin privilegios de administrador del sistema. O sea, como si fueras un usuario “pelao y mondao”. ¡Tú que en otros tiempos tenías los privilegios de un admin!

Con estos privilegios no puedes modificar los ficheros del sistema operativo, pero siempre podrás alterar los del perfil del usuario que pilló el malware. Y entre esos ficheros se encuentran los que configuran su perfil de Firefox.

En primer lugar, un malware podría consultar el fichero:

%USERPROFILE%\Datos de programa\Mozilla\Firefox\profiles.ini


Figura 7: Profiles.ini

Y ahora sabría que los ficheros de configuración del perfil de Firefox están en:

%USERPROFILE%\Datos de programa\Mozilla\Firefox\Profiles\98qmynwh.default

En esa carpeta hay muchos ficheros, pero dee ellos, al virus sólo le interesarían dos:

- cert_override.txt
- prefs.js

Vayamos por partes. En primer lugar, editemos el fichero cert_override.txt de nuestra víctima, de forma que acepte el certificado falso cuando visite https://www.hotmail.com.

Como ya vimos, en las pruebas que hicimos en el ordenador del atacante teníamos el siguiente fichero cert_override.txt


Figura 8: cert_override.txt. Se debe anotar el contenido de la tercera línea

En este ejemplo, la tercera línea es la que almacena la información de la excepción relativa al certificado utilizado por nuestro sitio, que queremos asociar al nombre de dominio www.hotmail.com, para completar algún bonito ataque MITM con suplantación de DNS, por ejemplo. Mientras que ese certificado no se cambie, esta línea habilita la conexión como de confianza debido a la excepción generada.

Si la víctima no tiene el fichero cert_override en su perfil, entonces deberá ser creado. Y ahora se añade al final de este archivo el contenido de nuestra línea de excepción, todo igual que la que obtuvimos antes, pero modificando el nombre del host de forma que nos valga para Hotmail:


Figura 9: cert_override.txt editado

*********************************************************************************************
- MITM https con Certificados Falsos a nivel de usuario en Firefox (1 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (2 de 3)
- MITM https con Certificados Falsos a nivel de usuario en Firefox (3 de 3)
*********************************************************************************************

No hay comentarios:

Entrada destacada

Desde HOY es BlackFriday en 0xWord.com Cupón 10% descuento: BLACKFRIDAY2024 y descuentos con Tempos de MyPublicInbox @0xWord @mypublicinbox

Pues este año tenemos el  BlackFriday  durante  7 días , y poco más que decir en el artículo que lo que he puesto en el título del artículo....

Entradas populares