Archivos de etiquetas: Windows

Exploit de Bluekeep disponible en MetaSploit

Un exploit público de Bluekeep fue añadido al framework de pentesting open-source MetaSploit, desarrollado por Rapid7 junto a la comunidad open-source.

Bluekeep es una vulnerabilidad que permite la ejecución remota de código (RCE) descubierta en el protocolo de escritorio remoto de Windows (RPD) la cual permite que un atacante sin autenticar ejecute código arbitrariamente, realice ataques de denegación de servicio, y en algunos casos, tomar el control total de sistemas sin parchar.

Este exploit recién liberado utiliza código de la prueba de concepto de los contribuidores de Metasploit zǝɹosum0x0 y Ryan Hanson, está diseñado para afectar versiones de WIndows 7 y Windows 2008 R2 de 64 bits.

El gerente de ingenieros senior de MetaSploit, Brent Cook, indicó que por defecto, este exploit sólo identifica el sistema operativo del objetivo e indica si es o no vulnerable a Bluekeep. También apuntó a que este exploit no soporta automatización de objetivo sino que requiere que el usuario especifique manualmente los detalles del objetivo antes de intentar cualquier explotación.

zǝɹosum0x0 manifestó que toda la información requerida para explotar esta vulnerabilidad ya ha sido filtrada las semanas anteriores y existen al menos una docena de exploits privados anunciados. Ha sido una preocupación por muchos meses el parchado de esta vulnerabilidad, y al igual que otras fallas de windows que se pueden incluir en un gusano, posiblemente será una preocupación en los años venideros.

La publicación de este exploit sigue a un incrementado número de ataques que apuntan a los servicios RDP, con BinaryEdge detectando actualmente más de 1.000.000 de sistemas sin parchar expuestos en internet. Shodan a su vez tiene un dashboard con estadísticas por país afectado.

El exploit hace uso de una librería RDP de propósito general con mejoras, también tiene capacidades aumentadas para reconocimiento de RDP, las cuales benefician a los usuarios y contribuidores más allá del contexto de búsqueda y explotación de BlueeKeep. Si un IPS interrumpe el progreso del exploit de BlueKeep al detectar una firma de payload contra un sistema sin parchar, la desconexión causaría un error fatal en el objetivo, ya que el código del exploit se gatilla por una desconexión de red.

Otros exploits de BlueKeep

La herramienta CANVAS de la empresa Immunity agregó un exploit completamente funcional de BlueeKeep el 23 de julio, este es un exploit completo y no se limita a verificar la vulnerabilidad.

El parche para esta vulnerabilidad fue publicado por Microsoft el 14 de mayo de este año, este parche se puede descargar para cada versión de Windows desde https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708.

Además Microsoft publicó otros parches para vulnerabilidades de RDP en agosto de este año, los cuales se encuentran disponibles en https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181 y https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

Juan Pablo Tosso, Gerente de ciberseguridad avanzada de Makros:
Bluekeep es una vulnerabilidad crítica que dada su alta explotabilidad, ha sido manejada de forma hermética en la comunidad de ciberseguridad. Pese a que desde hace ya varios meses existen POCs y documentación suficiente para elaborar exploits funcionales, el alto nivel de conocimiento técnico en ingeniería reversa necesario para aprovechar esta vulnerabilidad ha evitado que script kiddies desaten el caos en internet.
La publicación de este exploit probablemente dé inicio a la creación de nuevos ransomware y una explotación masiva a servicios públicos vulnerables, por lo tanto el parchado se debe realizar inmediatamente.

Para estos casos Makros cuenta con un servicio de gestión de vulnerabilidades proactivo, el cual apoya en la detección y la mitigación.

También es recomendable implementar el módulo Sophos Exploit Prevention, disponible para Sophos Enterprise Console. Éste módulo activa las protecciones de anti-exploit, Cryptoguard, y tecnología Clean en el agente.

Fuentes:
https://www.bleepingcomputer.com/news/security/public-bluekeep-exploit-module-released-by-metasploit/
https://blog.rapid7.com/2019/09/06/initial-metasploit-exploit-module-for-bluekeep-cve-2019-0708/
https://blog.firosolutions.com/exploits/bluekeep/
https://www.cyber.gov.au/news/acsc-confirms-public-release-bluekeep-exploit
https://nakedsecurity.sophos.com/2019/07/26/bluekeep-guides-make-imminent-public-exploit-more-likely/
https://nakedsecurity.sophos.com/2019/07/01/rdp-bluekeep-exploit-shows-why-you-really-really-need-to-patch/
https://www.computerworld.com/article/3436857/heads-up-a-free-working-exploit-for-bluekeep-just-hit.html
https://www.welivesecurity.com/la-es/2019/06/10/bluekeep-vulnerabilidad-tiene-vilo-industria-seguridad/
https://github.com/rapid7/metasploit-framework/pull/12283

DHS (EEUU) urge por parchar vulnerabilidad de Windows: BlueKeep

La agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) del Departamento de Seguridad de la Patria (DHS) de Estados Unidos ha emitido una alerta pública acerca de una vulnerabilidad crítica. Han comunicado explícitamente “actualizar ahora”, sumándose así a la Agencia Nacional de Seguridad (NSA) y a Microsoft en advertir los peligros de la vulnerabilidad BlueKeep (CVE-2019-0708).

Expertos de seguridad pronostican que es sólo cuestión de tiempo, unas cuantas semanas para ser más explícitos, para que los cibercriminales utilicen esta vulnerabilidad como una arma, lo que clasificaría a BlueKeep como una bomba de tiempo cuyo impacto podrían ser similar al que tuvo en su momento el aún célebre WannaCry.

La alerta del CISA confirma este peligro, indicando además de que han determinado que Windows 2000 también es vulnerable a BlueKeep, lo que aumenta la superficie de ataque potencial de un exploit de esta vulnerabilidad.


Investigaciones revelan que poco menos de un millón de máquinas visibles a internet son vulnerables a BlueKeep en el puerto 3389, sirviendo de punto de entrada a cualquier gusano que pueda infectarlos e iniciar un movimiento lateral dentro de su red interna. 

Cabe mencionar que Microsoft ha publicado parches para BlueKeep inclusive para algunos de sus sistemas operativos fuera de soporte (EOL).

BlueKeep impacta los servicios de escritorio remoto en Windows y puede ser explotado al enviar paquetes específicos al objetivo. Es posible utilizarla en un contexto de malware tipo gusano.

El sitio oficial de Microsoft relacionado con esta vulnerabilidad es https://support.microsoft.com/es-cl/help/4500705/customer-guidance-for-cve-2019-0708

Fuentes:

https://www.forbes.com/sites/daveywinder/2019/06/18/u-s-government-announces-critical-warning-for-microsoft-windows-users/#2dd952652d29

https://www.securityweek.com/dhs-issues-alert-windows-bluekeep-vulnerability

https://www.zdnet.com/article/homeland-security-weve-tested-windows-bluekeep-attack-and-it-works-so-patch-now/

NSA llama a los administradores y usuarios de Windows a instalar los parches contra la vulnerabilidad “BlueKeep”

La NSA (National Security Agency) hace un llamado con urgencia a los usuarios y administradores de windows para realizar la actualización de sistema que protege contra la vulnerabilidad “Blue Keep” CVE2019-0708, según la NSA este podría llegar a ser próximo “WannaCry” si no es tratado en este momento.
El parche para este CVE-2019-0708 fue lanzado en el mes de mayo por Microsoft, no obstante se estima que hay casi un millón de equipos vulnerables pendientes de actualización.
BlueKeep es una vulnerabilidad (CVE-2019-0708), que afecta al protocolo de escritorio remoto (RDP) utilizado para que máquinas con Windows se puedan operar a distancia a través de Internet. La vulnerabilidad es crítica y afecta a Windows 7, Windows Vista, Windows XP y a Windows Server 2008 y 2003.
La alerta de NSA es inusual y solo se produce ante casos de extrema gravedad. Hay constancia que un exploit ya está aprovechando la vulnerabilidad y se teme una campaña de ataques que resulten en una situación similar a WannaCry, un malware que también utilizó un fallo en el protocolo de escritorio remoto.
Los titulares de la institución a través de sus redes sociales oficiales han hablado sobre el delicado asunto los últimos días. Pero incluso ya publicaron una entrada en su sitio web oficial. Donde dimensionan con mayor precisión el peligro que representa:
Las advertencias recientes de Microsoft destacaron la importancia de instalar parches para solucionar una vulnerabilidad de protocolo en versiones anteriores de Windows .
Microsoft ha advertido que esta falla es potencialmente “wormable”, lo que significa que podría propagarse sin la interacción del usuario a través de Internet.
Hemos visto gusanos informáticos devastadores que causan daños en sistemas sin parches con un impacto de gran alcance, y estamos buscando motivar mayores protecciones contra esta falla.
Medidas contra BlueKeep
Junto con la instalación de los parches publicados por Microsoft, la agencia de seguridad también recomendó tomar las siguientes medidas adicionales:
Bloquear el puerto TCP 3389 en el cortafuegos, especialmente los perimetrales expuestos a Internet. Este puerto se usa en el protocolo RDP y bloqueará los intentos de establecer una conexión.Habilitar la autenticación de nivel de red. Esto mejora la seguridad, ya que requiere que los atacantes tengan credenciales válidas para realizar la autenticación de código remoto.Deshabilitar los servicios de escritorio remoto si no los necesitas. Esto ayuda a reducir la exposición a las vulnerabilidades de seguridad en general y es una buena práctica incluso sin la amenaza de BlueKeep.
Fuentes:

Actualización critica de Microsoft, alarmas de un nuevo WannaCry (CVE-2019-0708)

Hoy Microsoft liberó parches para una vulnerabilidad crítica de ejecución de código remoto, CVE-2019-0708, presente en Remote Desktop Services (antes conocida como Terminal Services) que afecta algunas versiones antiguas de Windows. El protocolo RDP en sí no es vulnerable. Esta vulnerabilidad es pre-autenticación y no requiere interacción del usuario. En otras palabras, la vulnerabilidad es “gusaneable”, lo que significa que cualquier malware a futuro que explote esta vulnerabilidad podría propagarse desde un equipo vulnerable a otro de forma similar a la en la que el malware WannaCry se esparció a través del mundo en 2017. Mientras tanto no se ha observado explotación de esta vulnerabilidad, es altamente posible que algunos ciberdelincuentes escriban un exploit para esta vulnerabilidad y la incorporen en su malware.
Es importante mencionar que recomendamos el parchado de los sistemas afectados a la brevedad de lo posible para prevenir que esta explotación suceda. Como respuesta, Microsoft está tomando la acción de entregar parches de seguridad para todos los clientes con tal de proteger las plataformas de Windows, incluyendo algunas versiones de Windows que se encuentran fuera de soporte.
Entre los sistemas vulnerables se encuentran Windows 7, Windows Server 2008 y 2008 R2. La descarga para versiones de Windows con soporte pueden ser encontradas en Microsoft Security Update Guide. Los clientes de estas versiones con soporte vigente también pueden beneficiarse de la actualización automática ya que este parche se encuentra en despliegue con este método también.
Las versiones de Windows fuera de soporte incluyen a Windows 2003 y Windows XP. Si es usuario de una versión fuera de soporte, el mejor método de mitigar esta vulnerabilidad es actualizar hacia una versión de Windows con soporte vigente. Aún así, Microsoft dispuso de parches disponibles para estas versiones en su KB4500705.
Existe una mitigación parcial en sistemas afectados que tienen habilitada la autenticación a nivel de red (NLA) . Los sistemas afectados son mitigados para evitar infecciones de malware “gusaneable” o malware avanzado que podría explotar esta vulnerabilidad, como NLA requiere autenticación antes de que la vulnerabilidad pueda ser explotada. De todas maneras, los sistemas afectados aún serían vulnerables a explotación por ejecución de código remoto (RCE) si es que el atacante tiene credenciales válidas que puedan ser utilizadas exitosamente.
Debido a lo anteriormente expuesto, se recomienda firmemente que este parche sea aplicado a la brevedad.
Fuentes:

Twittean vulnerabilidad 0-Day de Windows

El investigador de seguridad conocido como SandboxEscaper, liberó vía Twitter la prueba de concepto (PoC) de un exploit para una vulnerabilidad, hasta el momento desconocida, que afecta al sistema operativo Microsoft Windows.
SandboxEscaper es el mismo investigador quien previamente liberó exploits para dos vulnerabilidades 0-Day, dejando expuestos a ataques a todos los usuarios de Windows, hasta que Microsoft liberó las correspondientes actualizaciones de seguridad.
Esta nueva vulnerabilidad expuesta consiste en un problema de lectura arbitraria de archivos, la cual podría permitir que un usuario con pocos privilegios (o a un programa mal intencionado) leer el contenido de cualquier archivo (al que no debiese tener acceso a menos de ser Administrador) en un sistema Windows.
Esta vulnerabilidad reside en la función “MsiAdvertiseProduct” la cual es responsable de generar “un script de aviso o aviso de productos para el computador y además habilita al instalador para que escriba en el registro junto con los atajos de información usados para asignar o publicar un producto”.
De acuerdo al investigador, debido a una validación impropia, la función afectada puede ser abusada para instalar forzadamente una copia de cualquier archivo, asignándole privilegios de Sistema y leer su contenido, resultando en una vulnerabilidad de lectura de archivos arbitraria (Arbitrary File Read).
El investigador añadió: “Aún sin un vector de enumeración, estas son malas noticias, debido a que bastante software de documentos (como Office) mantienen archivos en ubicaciones estáticas que contienen la ruta completa y los nombres de archivo de los documentos recientemente abiertos”.
“Además de leer documentos como estos, es posible obtener nombres de archivos de documentos creados por otros usuarios; el sistema de archivos es una telaraña y las referencias a archivos creados por diversos usuarios son posibles de hallar en cualquier parte”
El sitio de Github en el cual fue publicado el exploit fue bajada y la cuenta de este investigador suspendida.
Para evitar la explotación de amenazas avanzadas como esta, recomendamos implementar un sistema de protección contra amenazas avanzadas (Advanced Endpoint Security) como Sophos InterceptX Advanced con EDR.
El Deep Learning hace que Intercept X sea más inteligente, más escalable y que ofrezca un mayor rendimiento que las soluciones de seguridad para endpoints que utilizan únicamente el Machine Learning tradicional o la detección basada en firmas.
Más información acerca de Sophos InterceptX en https://www.makros.cl/sophos

WannaMine, el nuevo modelo de ataque que desplaza progresivamente al ransomware

El año pasado estuvimos repletos de historias acerca de ataques ransomware, los cuales son bastante dolorosos.
Son rápidos, brutales y altamente perjudiciales, el ransomware difiera de otros ataques de malware que intentan mantener un bajo perfil y evitar la exposición.
Además el ransomware puede salir bastante caro de remediar, aún cuando tenga un proceso de respaldo y recuperación eficientes, es mas engorroso este proceso de que tan solo seguir trabajando normalmente.
De hecho, el ransomware puede ser aún mas caro, puede ser un desafío ético, forzándonos a tomar difíciles desiciones entre intentar reparar el problema o hacer un trato con los criminales con la esperanza de tener nuestro negocio funcionando libremente.
Pero hay un nuevo tipo de malware en el 2018: Cryptomining.
El malware de criptominado se trata cuando los delincuentes infectan sigilosamente su computador con un software que realiza cálculos que generan criptodivisas tales como Bitcion, Monero o Ethereum, así los delincuente se quedan con las criptodivisas generadas.
Esto lo realizan dado que para generar dinero con el “minado” de criptodivisas, necesitas mucha electricidad para entregar mucho poder de procesamiento a muchos computadores.
Entonces puedes arrendar espacio en un rack gigante de servidores, por ejemplo en Islandia, donde la electricidad es barata y el clima es lo suficientemente frío como para evitar que tus servidores se frían…
… o puedes robar la electricidad de otras personas, poder de procesamiento y aire acondicionado al utilizar malware que infiltre criptominadores en sus redes, sus navegadores, sus cafeterías, y más.
Cual es el daño
Si se infecta con un criptominador, todos sus datos seguirán ahi, y aún tendrá acceso a ellos, entonces el criptominado suena como un golpecito comparado con el ransomware.
Sin embargo, su computador probablemente se volverá enervantemente lento, los ventiladores de los portátiles rugirán todo el tiempo y la duración de la batería será nula.
En un dispositivo móvil, todos estos efectos secundarios son mucho mas graves, ya que el quedarse sin batería implica que se apagará rápido y el sobrecalentamiento asociado con el uso suer-pesado del procesador podría ocasionar un daño permanente.
Irónicamente, mucha información acerca del criptominado indica que no se sugiere minar en teléfonos móviles, el poder de procesamiento no es suficiente para resultados decentes, así el costo superaría a los beneficios. Claro que a los delincuentes detrás de este tipo de ataque no les importa.
¿Como protegerse?
Un software de prevención de exploits como Sophos Intercept X puede bloquear este tipo de ataques, al reconocer el comportamiento de este malware detecta el abuso de condiciones en el sistema operativo y lo bloquea.
Un sistema de antivirus y prevención de intrusos (Sophos Endpoint Protection) puede detener los procesos maliciosos que permiten que se ejecute el ataque, aún cuando los exploits que lo permiten se reinicie cada vez.
Un dispositivo de seguridad en la red como el Firewall XG de Sophos puede bloquear el tráfico de red que un malware criptominador requiere para funcionar.
Junto con lo anteriormente expuesto, la mejor defensa es la preparación, parchar nuestros sistemas oportunamente nos da la ventaja de estar al día en las protecciones que el fabricante de nuestro sistema operativo ofrece.
Un ejemplo es con el tristemente célebre ransomware WannaCry, cuya propagación era evitable luego de instalar el parche MS17-010 de Microsoft para sus sistemas operativos Windows.
Esto no impide que se sigan ejecutando ataques con ransomware, de hecho esta semana ha causado un gran revuelo el ransomware GrandCrab, el cual solicita una recompensa cercana al millón de pesos en una criptomoneda llamada Dash (la cual es mucho mas difícil de rastrear que el general de las criptodivisas)