Por Mid 
De %TEMP% a SYSTEM: secuestro en caliente con SetupHijack
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Intermedia
Conclusiones clave
- SetupHijack permite aprovechar vulnerabilidades en instaladores y actualizadores en Windows.
- La herramienta puede ejecutar un payload con privilegios de Administrador o SYSTEM sin requerir permisos elevados.
- Funcionalidades de registro ayudan a auditar las acciones realizadas, evitando duplicados en el escaneo.
- Facilita el secuestro de archivos temporales sin necesidad de ser un usuario privilegiado.
- Requiere una ejecución estratégica durante procesos de instalación o actualización.
Índice
Contenido Principal
SetupHijack es una utilidad diseñada para facilitar la explotación de vulnerabilidades relacionadas con condiciones de carrera y la gestión inadecuada de archivos en procesos de instalación y actualización dentro del entorno Windows. Esta herramienta se enfoca en situaciones donde instaladores o actualizadores con privilegios depositan artefactos en directorios como %TEMP% u otras rutas que cuentan con permisos poco restrictivos.
La mecánica de funcionamiento de SetupHijack consiste en monitorear periódicamente directorios comunes donde los instaladores suelen dejar archivos temporales. Al localizar un objetivo, la herramienta reemplaza el archivo original con un binario proporcionado por el atacante, teniendo la opción de guardar una copia del archivo original para su posible recuperación. En el momento en que el instalador o actualizador ejecuta el archivo alterado sin haber verificado su integridad, el payload gana ejecución con los privilegios del propio instalador, que pueden ser de nivel SYSTEM o Administrador.
SetupHijack también integra funcionalidades para mantener un registro de los archivos ya procesados, evitando así la re-ejecución en caso de que se detecten múltiples objetivos. Además, genera logs de actividad que facilitan la auditoría de la operación realizada. La ejecución de la herramienta no requiere privilegios elevados y puede llevarse a cabo desde una cuenta de usuario que ya ha sido comprometida o que tiene acceso estándar.
Uso
Para compilar:
nmake PAYLOAD=c:\Path\to\your\payload.exe
Opciones disponibles:
SetupHijack.exe -notemp: Desactiva el escaneo en %TEMP%SetupHijack.exe -noappdata: Desactiva el escaneo en %APPDATA%SetupHijack.exe -nodownloads: Desactiva el escaneo en %USERPROFILE%\DownloadsSetupHijack.exe clean: Modo de limpieza (restaura copias de seguridad .bak en todas las ubicaciones habilitadas)SetupHijack.exe verbose: Modo detallado (registra todas las acciones)SetupHijack.exe <payload.exe>: Utiliza el payload especificado para .exe (salvo que el argumento sea una opción reconocida)
Se recomienda ejecutar SetupHijack.exe antes o durante la instalación/actualización que requiera privilegios. De manera predeterminada, la herramienta escanea todas las ubicaciones de descarga habituales: %TEMP%, %APPDATA% y %USERPROFILE%\Downloads. Cualquier ruta puede deshabilitarse utilizando los indicadores -notemp, -noappdata o -nodownloads. El indicador «clean» se encarga de restaurar copias de seguridad en las ubicaciones habilitadas, mientras que el indicador «verbose» asegura que se registren todas las acciones realizadas.
Para llevar a cabo una escalada de privilegios de manera remota, se pueden emplear herramientas como shadow.exe o alternativas similares en Servicios de Terminal.
Ejemplo de proyecto
https://github.com/hackerhouse-opensource/SetupHijack
Herramientas
- malware
- red team
- Windows
Referencias
Para más información y seguridad, consulta fuentes autorizadas en seguridad informática.
Comentarios
Publicar un comentario