Archivos de etiquetas: nsa

NSA llama a los administradores y usuarios de Windows a instalar los parches contra la vulnerabilidad “BlueKeep”

La NSA (National Security Agency) hace un llamado con urgencia a los usuarios y administradores de windows para realizar la actualización de sistema que protege contra la vulnerabilidad “Blue Keep” CVE2019-0708, según la NSA este podría llegar a ser próximo “WannaCry” si no es tratado en este momento.
El parche para este CVE-2019-0708 fue lanzado en el mes de mayo por Microsoft, no obstante se estima que hay casi un millón de equipos vulnerables pendientes de actualización.
BlueKeep es una vulnerabilidad (CVE-2019-0708), que afecta al protocolo de escritorio remoto (RDP) utilizado para que máquinas con Windows se puedan operar a distancia a través de Internet. La vulnerabilidad es crítica y afecta a Windows 7, Windows Vista, Windows XP y a Windows Server 2008 y 2003.
La alerta de NSA es inusual y solo se produce ante casos de extrema gravedad. Hay constancia que un exploit ya está aprovechando la vulnerabilidad y se teme una campaña de ataques que resulten en una situación similar a WannaCry, un malware que también utilizó un fallo en el protocolo de escritorio remoto.
Los titulares de la institución a través de sus redes sociales oficiales han hablado sobre el delicado asunto los últimos días. Pero incluso ya publicaron una entrada en su sitio web oficial. Donde dimensionan con mayor precisión el peligro que representa:
Las advertencias recientes de Microsoft destacaron la importancia de instalar parches para solucionar una vulnerabilidad de protocolo en versiones anteriores de Windows .
Microsoft ha advertido que esta falla es potencialmente “wormable”, lo que significa que podría propagarse sin la interacción del usuario a través de Internet.
Hemos visto gusanos informáticos devastadores que causan daños en sistemas sin parches con un impacto de gran alcance, y estamos buscando motivar mayores protecciones contra esta falla.
Medidas contra BlueKeep
Junto con la instalación de los parches publicados por Microsoft, la agencia de seguridad también recomendó tomar las siguientes medidas adicionales:
Bloquear el puerto TCP 3389 en el cortafuegos, especialmente los perimetrales expuestos a Internet. Este puerto se usa en el protocolo RDP y bloqueará los intentos de establecer una conexión.Habilitar la autenticación de nivel de red. Esto mejora la seguridad, ya que requiere que los atacantes tengan credenciales válidas para realizar la autenticación de código remoto.Deshabilitar los servicios de escritorio remoto si no los necesitas. Esto ayuda a reducir la exposición a las vulnerabilidades de seguridad en general y es una buena práctica incluso sin la amenaza de BlueKeep.
Fuentes:

Otras herramientas de hackeo de NSA están siendo utilizadas en ataques (DarkPulsar y otras)

Industrias de aeroespacio, energía nuclear, I+D y otras, han sido atacadas utilizando poderosas herramientas elaboradas por la Agencia Nacional de Seguridad de Estados Unidos de Norteamérica (NSA).
De acuerdo a investigadores de laboratorios Kaspersky, los atacantes combinan herramientas filtradas desde la NSA como DarkPulsar, DanderSpritz y FuzzBunch para infectar máquinas Windows Server 2003 y 2008, 50 organizaciones de Rusia, Irán y Egipto ya fueron víctimas de este procedimiento.
DanderSpritz consiste meramente en plugins para recopilar inteligencia, utiliza exploits y examina máquinas previamente controladas. Está escrito en Java y provisiona una interfaz gráfica similar a los paneles administrativos de los botnets, y también una consola similar a la de Metasploit. Además incluye sus propios backdoors y plugins para las victimas que no están controladas por FuzzBunch.
FuzzBunch por otra parte ofrece un framework para distintas utilidades que interactúan y trabajan juntas. Contiene varios tipos de plugins que estan diseñados para analizar víctimas, explotar vulnerabilidades, programar tareas, etc.
DarkPulsar es un backdoor que puede ser utilizado por los atacantes en conjunto con FuzzBunch para ganar acceso remoto al servidor objetivo.
Una vez que el backdoor se encuentra operativo, los atacantes pueden utilizar los pluins de DanderSpritz para monitorear y exfiltrar datos desde las máquinas infectadas.
Cada herramienta soporta una cantidad de plugins diseñados para diferentes tareas, los de FuzzBunch sirven para reconocimiento y hackear el sistema objetivo, los de DanderSpritz son usados para la administración de las víctimas ya infectadas.
El hallazgo de esta última ola de ataques es muy importante para demostrar que las amenazas pueden encadenarse desde herramientas de hackeo y exploits desarrolladas por un Estado con el objetivo de crear un poderoso paquete de ataque. También demuestra como los hackers pueden combinar herramientas para realizar operaciones de hackeo con alta sofisticación.
El descubrimiento del backdoor DarkPulsar ayudó a entender su rol como un puente entre estos frameworks previamente filtrados, también como ellos son parte de la misma plataforma de ataque, diseñados para un compromiso de los activos objetivo a largo plazo, basándose en la avanzada facultad de DarkPulsar de persistir y ocultarse.
La implementación de estas capacidades, como por ejemplo, el encapsulamiento del tráfico en protocolos legítimos y el evitar tener que utilizar credenciales de acceso para pasar la autenticación, son altamente profesionales.
Es importante recordar que existen parches de seguridad para estas vulnerabilidades.
Estas herramientas fueron expuestas por el grupo Shadow Brokers en marzo de 2017 y el pack completo se transa en 250 Bitcoins en la dark web.

Para detectar una infección con estas herramientas (si no ha parchado aún, aunque debería) es necesario monitorear el puerto 445, además de un par de sockets que aparecerán en lsass.exe. Cuando DanderSpritz despliega su carga PeddleCheap mediante el plugin PcDllLauncher, la actividad de la red aumenta considerablemente.
Luego cuando una conexión a la máquina infectada se termina y la actividad de la red vuelve a la normalidad, sólo quedan los sockets de lsass.exe
IOCs:
Malware – 96f10cfa6ba24c9ecd08aa6d37993fe4
Ruta – %SystemRoot%System32sipauth32.tsp
Regkey – HKLMSoftwareMicrosoftWindowsCurrentVersionTelephonyProviders
Fuentes: https://securityaffairs.co/wordpress/77278/hacking/darkpulsar-nsa-hacking-tools.html
https://securelist.com/darkpulsar/88199/

EsteemAudit: Exploit para RDP de la NSA. Sin parche oficial Microsoft

Existe una posibilidad latente de una “segunda ola” de ataques por malware, pues no sólo el protocolo SMB fue objetivo de los exploits creados por la NSA y que fueron expuestos el mes pasado.

Mientras Microsoft libera parches para las fallas en SMB, inclusive para versiones obsoletas de Windows, no ocurre esto en relación a otras herramientas de hackeo: “EnglishmanDentist”, EsteemAudit” y “ExplodingCan”.

EsteemAudit es otra peligrosa herramienta de hacking de Windows, desarrollada por la NSA, la cual ataca mediante el servicio RDP (puerto 3389) para equipos Windows XP y 2003. Como se trata de sistemas que se encuentran en End Of Life, Microsoft no ha liberado algún parche de emergencia para el exploit de EsteemAudit, por lo que existe una cantidad elevada de sistemas vulnerables de cara a Internet disponibles para atacar.

Este malware también puede ser usado como “gusano”, similar a WannaCry, lo que permitiría a atacantes propagarse por redes corporativas enteras y dejar una gran cantidad de sistemas vulnerables a acciones maliciosas como ransomware, espionaje, C&C y otros.

Ya existe historial de propagación de ransomware mediante RDP, por lo que la primera recomendación es la actualización de sistemas Windows fuera de soporte a versiones que se encuentran soportadas por Microsoft (2008 y superior). En caso de no ser posible, securizar el puerto de RDP mediante firewall o deshabilitarlo.