Archivo mensual: Mayo 2017

EsteemAudit: Exploit para RDP de la NSA. Sin parche oficial Microsoft

Existe una posibilidad latente de una “segunda ola” de ataques por malware, pues no sólo el protocolo SMB fue objetivo de los exploits creados por la NSA y que fueron expuestos el mes pasado.

Mientras Microsoft libera parches para las fallas en SMB, inclusive para versiones obsoletas de Windows, no ocurre esto en relación a otras herramientas de hackeo: “EnglishmanDentist”, EsteemAudit” y “ExplodingCan”.

EsteemAudit es otra peligrosa herramienta de hacking de Windows, desarrollada por la NSA, la cual ataca mediante el servicio RDP (puerto 3389) para equipos Windows XP y 2003. Como se trata de sistemas que se encuentran en End Of Life, Microsoft no ha liberado algún parche de emergencia para el exploit de EsteemAudit, por lo que existe una cantidad elevada de sistemas vulnerables de cara a Internet disponibles para atacar.

Este malware también puede ser usado como “gusano”, similar a WannaCry, lo que permitiría a atacantes propagarse por redes corporativas enteras y dejar una gran cantidad de sistemas vulnerables a acciones maliciosas como ransomware, espionaje, C&C y otros.

Ya existe historial de propagación de ransomware mediante RDP, por lo que la primera recomendación es la actualización de sistemas Windows fuera de soporte a versiones que se encuentran soportadas por Microsoft (2008 y superior). En caso de no ser posible, securizar el puerto de RDP mediante firewall o deshabilitarlo.

Vulnerabilidad de ejecución remota en Samba (SambaCry)

Se realizó el hallazgo y confirmación de una vulnerabilidad crítica en Samba, cuya permanencia se calcula de hace 7 años. Se le ha llamado SambaCry

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

Esta vulnerabilidad (CVE-2017-7494) puede permitir la ejecución de código remoto mediante el envío de una librería compartida a un recurso que permita escritura, con tal que el servidor la cargue y ejecute.

Afecta a versiones desde Samba 3.5.0 (Marzo de 2010) y posteriores.

Existen parches para remediar esta vulnerabilidad en el sitio de Samba: https://www.samba.org/samba/ftp/patches/security/samba-4.6.3-4.5.9-4.4.13-CVE-2017-7494.patch. Además existen versiones actualizadas con esta vulnerabilidad corregida (4.6.4, 4.5.10 y 4.4.14).

RedHat, Ubuntu y Slackware ya han publicado parches para sus distribuciones.

Adicionalmente se recomienda modificar la configuración de Samba en el archivo <<smb.conf>> y luego reiniciar el servicio. El parámetro “nt pipe support” se debe deshabilitar:

<<nt pipe support = no>>

Esta vulnerabilidad se encuentra presente en más de 480.000 equipos ejecutando Samba mediante el puerto 445, por lo que se denomina como “la versión Linux de EternalBlue”, utilizado por el ransomware WannaCry.

Es simple de explotar, sólo se requiere agregar una línea de código para ejecutar código malicioso en el sistema vulnerable:

<< simple.create_pipe(“ruta/objetivo.so”) >>

Además ya existe en Metaexploit.

Fuentes:

https://lists.samba.org/archive/samba-announce/2017/000406.html

https://www.samba.org/samba/security/CVE-2017-7494.html

Malware EternalRocks: utiliza más herramientas filtradas que WannaCry

Este lunes dio a conocer un nuevo malware relacionado con la filtración de herramientas utilizadas por la NSA (2 de ellas utilizadas por WannaCry), se trata de EternalRocks. Éste se replica utilizando 4 exploits desclasificados: EternalBlue, EternalRomance, EternalChampion y EternalSynergy; además de 3 herramientas: DoubePulsar, ArchiTouch y SMBTouch.

La primera etapa de este malware, UpdateInstaller.exe, descarga los componentes .NET necesarios para etapas posteriores TaskScheduler y SharpZLib desde internet, mientras baja a svchost.exe y taskhost.exe. 

El componente svchost.exe es utilizado para descargar, desempaquetar y ejecutar Tor desde archive.torproject.org junto con C&C (ubgdgno5eswkhmpy.onion) par solicitar mayores instrucciones como la instalación de componentes adicionales.

En su segunda etapa, otro taskhost.exe se descarga después de 24 horas también desde ubgdgno5eswkhmpy.onion y luego se ejecuta. Entonces baja el pack de exploit shadowbrokers.zipy descomprime los directorios payloads/, configs/ y bins/. Luego realiza un scan aleatorio a los puertos SMB (445) en Internet mientras ejecuta los exploits contenidos en bins/ y transmite la primera etapa mediante cargas del directorio payloads/. Además espera al proceso Tor por instrucciones adicionales de C&C.

Recomendación:

  • Instalación del parche MS17-010 para sistemas Windows, ya que en éste se encuentran remediadas las vulnerabilidades de propagación via SMB.
  • Evitar en lo posible la habilitación del protocolo SMBv1.
  • Bloquear en firewall el dominio <<ubgdgno5eswkhmpy.onion>>

PoC y muestras disponibles en la fuente original de esta información: https://github.com/stamparm/EternalRocks/

Este malware está cubierto por soluciones Sophos.