Archivos de etiquetas: EternalBlue

DHS (EEUU) urge por parchar vulnerabilidad de Windows: BlueKeep

La agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) del Departamento de Seguridad de la Patria (DHS) de Estados Unidos ha emitido una alerta pública acerca de una vulnerabilidad crítica. Han comunicado explícitamente “actualizar ahora”, sumándose así a la Agencia Nacional de Seguridad (NSA) y a Microsoft en advertir los peligros de la vulnerabilidad BlueKeep (CVE-2019-0708).

Expertos de seguridad pronostican que es sólo cuestión de tiempo, unas cuantas semanas para ser más explícitos, para que los cibercriminales utilicen esta vulnerabilidad como una arma, lo que clasificaría a BlueKeep como una bomba de tiempo cuyo impacto podrían ser similar al que tuvo en su momento el aún célebre WannaCry.

La alerta del CISA confirma este peligro, indicando además de que han determinado que Windows 2000 también es vulnerable a BlueKeep, lo que aumenta la superficie de ataque potencial de un exploit de esta vulnerabilidad.


Investigaciones revelan que poco menos de un millón de máquinas visibles a internet son vulnerables a BlueKeep en el puerto 3389, sirviendo de punto de entrada a cualquier gusano que pueda infectarlos e iniciar un movimiento lateral dentro de su red interna. 

Cabe mencionar que Microsoft ha publicado parches para BlueKeep inclusive para algunos de sus sistemas operativos fuera de soporte (EOL).

BlueKeep impacta los servicios de escritorio remoto en Windows y puede ser explotado al enviar paquetes específicos al objetivo. Es posible utilizarla en un contexto de malware tipo gusano.

El sitio oficial de Microsoft relacionado con esta vulnerabilidad es https://support.microsoft.com/es-cl/help/4500705/customer-guidance-for-cve-2019-0708

Fuentes:

https://www.forbes.com/sites/daveywinder/2019/06/18/u-s-government-announces-critical-warning-for-microsoft-windows-users/#2dd952652d29

https://www.securityweek.com/dhs-issues-alert-windows-bluekeep-vulnerability

https://www.zdnet.com/article/homeland-security-weve-tested-windows-bluekeep-attack-and-it-works-so-patch-now/

Vulnerabilidad de ejecución remota en Samba (SambaCry)

Se realizó el hallazgo y confirmación de una vulnerabilidad crítica en Samba, cuya permanencia se calcula de hace 7 años. Se le ha llamado SambaCry

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

Esta vulnerabilidad (CVE-2017-7494) puede permitir la ejecución de código remoto mediante el envío de una librería compartida a un recurso que permita escritura, con tal que el servidor la cargue y ejecute.

Afecta a versiones desde Samba 3.5.0 (Marzo de 2010) y posteriores.

Existen parches para remediar esta vulnerabilidad en el sitio de Samba: https://www.samba.org/samba/ftp/patches/security/samba-4.6.3-4.5.9-4.4.13-CVE-2017-7494.patch. Además existen versiones actualizadas con esta vulnerabilidad corregida (4.6.4, 4.5.10 y 4.4.14).

RedHat, Ubuntu y Slackware ya han publicado parches para sus distribuciones.

Adicionalmente se recomienda modificar la configuración de Samba en el archivo <<smb.conf>> y luego reiniciar el servicio. El parámetro “nt pipe support” se debe deshabilitar:

<<nt pipe support = no>>

Esta vulnerabilidad se encuentra presente en más de 480.000 equipos ejecutando Samba mediante el puerto 445, por lo que se denomina como “la versión Linux de EternalBlue”, utilizado por el ransomware WannaCry.

Es simple de explotar, sólo se requiere agregar una línea de código para ejecutar código malicioso en el sistema vulnerable:

<< simple.create_pipe(“ruta/objetivo.so”) >>

Además ya existe en Metaexploit.

Fuentes:

https://lists.samba.org/archive/samba-announce/2017/000406.html

https://www.samba.org/samba/security/CVE-2017-7494.html

Malware EternalRocks: utiliza más herramientas filtradas que WannaCry

Este lunes dio a conocer un nuevo malware relacionado con la filtración de herramientas utilizadas por la NSA (2 de ellas utilizadas por WannaCry), se trata de EternalRocks. Éste se replica utilizando 4 exploits desclasificados: EternalBlue, EternalRomance, EternalChampion y EternalSynergy; además de 3 herramientas: DoubePulsar, ArchiTouch y SMBTouch.

La primera etapa de este malware, UpdateInstaller.exe, descarga los componentes .NET necesarios para etapas posteriores TaskScheduler y SharpZLib desde internet, mientras baja a svchost.exe y taskhost.exe. 

El componente svchost.exe es utilizado para descargar, desempaquetar y ejecutar Tor desde archive.torproject.org junto con C&C (ubgdgno5eswkhmpy.onion) par solicitar mayores instrucciones como la instalación de componentes adicionales.

En su segunda etapa, otro taskhost.exe se descarga después de 24 horas también desde ubgdgno5eswkhmpy.onion y luego se ejecuta. Entonces baja el pack de exploit shadowbrokers.zipy descomprime los directorios payloads/, configs/ y bins/. Luego realiza un scan aleatorio a los puertos SMB (445) en Internet mientras ejecuta los exploits contenidos en bins/ y transmite la primera etapa mediante cargas del directorio payloads/. Además espera al proceso Tor por instrucciones adicionales de C&C.

Recomendación:

  • Instalación del parche MS17-010 para sistemas Windows, ya que en éste se encuentran remediadas las vulnerabilidades de propagación via SMB.
  • Evitar en lo posible la habilitación del protocolo SMBv1.
  • Bloquear en firewall el dominio <<ubgdgno5eswkhmpy.onion>>

PoC y muestras disponibles en la fuente original de esta información: https://github.com/stamparm/EternalRocks/

Este malware está cubierto por soluciones Sophos.