NSA explota la adaptación para que funcione en todas las versiones de Windows publicadas desde Windows 2000

NSA explota la adaptación para que funcione en todas las versiones de Windows publicadas desde Windows 2000 1

Un investigador de seguridad ha transferido tres exploits de NSA filtrados para que funcionen en todas las versiones de Windows publicadas en los últimos 18 años, empezando por Windows 2000.

Las tres hazañas son EternalChampion, EternalRomance y EternalSynergy; las tres filtradas el pasado mes de abril por un grupo de hackers conocido como The Shadow Brokers que afirmaron haber robado el código de la NSA.

Puertos de investigadores Explota NSA para viejas y nuevas versiones de Windows

En el vertedero de Shadow Brokers de abril de 2017 se publicaron varios exploits y herramientas de hacking, siendo el más famoso EternalBlue, el exploit utilizado en los brotes de WannaCry, NotPetya, y Bad Rabbit ransomware.

Mientras que EternalBlue se convirtió en la herramienta favorita de los autores de malware, el vertedero de Shadow Brokers también contenía muchas hazañas menos conocidas. La razón por la que muchos de ellos no se hicieron populares fue que sólo funcionaban con un pequeño número de versiones de Windows y no eran compatibles con las distribuciones recientes de Windows.

Ahora, el investigador de seguridad de RiskSense Sean Dillon (@zerosum0x0) ha modificado el código fuente de algunos de estos exploits menos conocidos para que puedan trabajar y ejecutar código a nivel de SISTEMA en una amplia variedad de versiones del SO Windows.

El investigador ha fusionado recientemente estas versiones modificadas de EternalChampion, EternalRomance y EternalSynergy en el Metasploit Framework, un proyecto de pruebas de penetración de código abierto.

Dillon ha creado sus hazañas modificadas para aprovechar las siguientes vulnerabilidades:

CVE
Vulnerabilidad
Explotado por
CVE-2017-0143
Tipo de confusión entre WriteAndX y las solicitudes de transacción
EternalRomance

EternalSynergy
CVE-2017-0146
Condición de carrera con solicitudes de transacciones
EternalCampeón

EternalSynergy

«En lugar de buscar la ejecución de shellcode, sobrescribe las estructuras de sesión de conexión SMB para obtener una sesión de Admin/SYSTEM», dice Dillon. «El módulo[Metasploit Framework] es más delgado (desprovisto de recuento de paquetes/almohadillado), comprueba las tuberías con nombre extra, rocía aleatoriedad cuando es posible, y tiene la implementación de Metasploit psexec DCERPC atornillada en él».

Los explota trabajos en arquitecturas de 32 y 64 bits

Dillon dice que sus hazañas modificadas funcionarán en arquitecturas de 32 y 64 bits. Enumeró las siguientes versiones de Windows como compatibles:

Windows 2000 SP0 x86

Windows 2000 Professional SP4 x86

Windows 2000 Advanced Server SP4 x86

Windows XP SP0 x86

Windows XP SP1 x86

Windows XP SP2 x86

Windows XP SP3 x86

Windows XP SP2 x64

Servidor Windows 2003 SP0 x86

Servidor Windows 2003 SP1 x86

Windows Server 2003 Enterprise SP 2 x86

Windows Server 2003 SP1 x64

Windows Server 2003 R2 SP1 x86

Windows Server 2003 R2 SP2 x86

Windows Vista Home Premium x86

Windows Vista x64

Windows Server 2008 SP1 x86

Windows Server 2008 x64
> Servidor de Windows
Windows 7 x86

Windows 7 Ultimate SP1 x86

Windows 7 Enterprise SP1 x86

Windows 7 SP0 x64
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>)
Windows 7 SP1 x64

Windows Server 2008 R2 x64

Windows Server 2008 R2 SP1 x64

Windows 8 x86

Windows 8 x64

Windows Server 2012 x64

Windows 8.1 Enterprise Evaluation 9600 x86
> Evaluación de empresas
Windows 8.1 SP1 x86

Windows 8.1 x64
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>))).
Windows 8.1 SP1 x64
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>)
Windows Server 2012 R2 x86

Windows Server 2012 R2 Estándar 9600 x64

Windows Server 2012 R2 SP1 x64

Windows 10 Enterprise 10.10240 x86

Windows 10 Enterprise 10.10240 x64

Windows 10 10.10586 x86

Windows 10 10.10586 x64

Windows Server 2016 10.10586 x64
> Servidor de Windows
Windows 10 10.0.14393 x86

Evaluación de Windows 10 Enterprise 10.14393 x64
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>).
Centro de datos de Windows Server 2016 10.14393 x64

Varios investigadores de seguridad han confirmado de forma independiente que el código de explotación de Dillon funciona en estas versiones de Windows.

Los usuarios que instalaron los parches detallados en el boletín de seguridad MS17-010 de Microsoft están protegidos contra estos ataques.

Nada nuevo. Explotaciones de la NSA en el pasado.

Parte del código de Dillon utiliza un puerto anterior de la explotación EternalSynergy creado por el investigador de seguridad Worawit Wang. Bleeping Computer ya cubrió en un artículo cómo Wang portó EternalSynergy para trabajar en versiones más nuevas de Windows.

En junio de 2017, Dillon también portó el exploit EternalBlue para que funcionara en Windows 10. Dillon también descubrió la vulnerabilidad de SMBLoris.

Además de EternalBlue, los brotes de rescate de NotPetya y Bad Rabbit también utilizaron la explotación de EternalRomance que Dillon ha portado recientemente para dirigirse a un espectro más amplio de versiones de Windows.

Dillon también incluyó lo siguiente con sus puertos, queriendo que la gente supiera que el código fue creado para ayudar a las compañías a identificar máquinas vulnerables a través de pruebas con lápiz y desarrollar estrategias de mitigación.

Contenido relacionado

Deja un comentario