Explotación de vulnerabilidades recientes de Windows - Agosto 2017
-
Upload
websec-mexico-sc -
Category
Internet
-
view
948 -
download
1
Transcript of Explotación de vulnerabilidades recientes de Windows - Agosto 2017
Fundador de:
● Websec,
● Comunidad Underground México.
Pentester por más de 15 años y me sigue apasionando aprender, encontrar y
explotar todo tipo de vulnerabilidades.
Desarrollo de herramientas:
● Routerpwn.com,
● Vecínitum de Fibra (Android),
● +20 exploits publicados,
Un poco acerca de mi
Fuga de información de Shadow Brokers / Equation Group / NSA / TAO.
Integrar y utilizar los exploits en Metasploit.
Explotar la última vulnerabilidad del tipo de archivo .LNK (USB).
Explotar la denegacion de servicio Slowloris. No existen parches y afectan
todas las versions de Windows.
De que trata esta plática
Equation Group Cyber Weapons Auction - Invitation
-------------------------------------------------
!!! Attention government sponsors of cyber warfare and those who
profit from it !!!!
How much you pay for enemies cyber weapons? Not malware you find
in networks. Both sides, RAT + LP, full state sponsor tool set? We
find cyber weapons made by creators of stuxnet, duqu, flame.
Kaspersky calls Equation Group. We follow Equation Group traffic.
We find Equation Group source range. We hack Equation Group. We
find many many Equation Group cyber weapons. You see pictures. We
give you some Equation Group files free, you see. This is good
proof no? You enjoy!!! You break many things. You find many
intrusions. You write many words. But not all, we are auction the
best files.
The Shadow Brokers (TSB)
Hacen público los exploits
desarrollado por la NSA.
Ofrecen un servicio de suscripción
mensual a la publicación de exploits
de la NSA.
National Security Agency
Equation Group
Tailored Access Operations (TAO)
Desarrollan y utilizan exploits para
controlar casi cualquier red,
computadora y celular.
Player VS Player
The Shadow Brokers – Historial de leaks
●“Equation Group Cyber Weapons Auction – Invitation”: Subasta de archivos.
●“Message #5 – TrickOrTreat”: Lista de servidores comprometidos por Equation Group.
●"Message #6 - BLACK FRIDAY / CYBER MONDAY SALE: Screenshots de los nombres de exploits.
●"Don't Forget Your Base“: Mensaje a Trump y exploits de Linux.
● "Lost in Translation“: ETERNAL y todos los que listamos anteriormente.
●Y Continua…
The Shadow Brokers – Últimas noticias
De acuerdo a su última
publicación, se puede contratar su
servicio de filtrado de los exploits
de la NSA en agosto del 2017 a
tan solo 500 ZEC o 2,000 XMR
500 ZEC = 2,036,042.65 MXN. Si
quieren la dirección para el
depósito tienen que solicitarla a
steemit.com/@theshadowbrokers
The Shadow Brokers – Blockchain RickRoll!1never9kNNkr27UseZSHnaEHg1z8v3Mbb
1gonnaV3MFNjymS4RGvUbHACstiS8aSYz
1giveGEk184Gwep2KT4UBPTcE9oqWzCVR
1youKBMLEohsexdZtkvnTzHnc4iU7Ffty
1upAbpBEWQ467QNT7i4vBMVPzSfQ3sqoQ
1never9kNNkr27UseZSHnaEHg1z8v3Mbb
1gonnaV3MFNjymS4RGvUbHACstiS8aSYz
11etAyypstpXLQpTgoYmYzT8M2foBSBe1
1youKBMLEohsexdZtkvnTzHnc4iU7Ffty
1downAsBbRQcBfUj8rgQomqhRsNFf1jMo
VULNERABILIDADES RECIENTES
Nombre Protocolo Publicación Parche
EternalBlue SMB1,2 4/14/2017 Parche oficial
EternalRomance SMB1,2 4/14/2017 Parche oficial
EsteemAudit RDP 6/10/2017 Parche oficial
LNK Execution Archivos .LNK Parche oficial
SMBLoris SMB1,2,3 6/14/2017 Sin parche
Explotación de MS17-010 con Metasploit
Pasos
1. msfconsole
2. search ms17-010
3. use exploit/windows/smb/ms17_010_eternalblue
4. set RHOST 192.168.179.133
5. exploit
¿Cómo funciona Esteemaudit?
Requisitos para vulnerabilidad
Instalación de Esteemaudit en Metasploit
Detección de Esteemaudit
Explotación de Esteemaudit
Remediación y parche
ESTEEMAUDIT – CVE-2017-0176
¿Cómo funciona?
Esteemaudit se aprovecha de un Inter-chunk
heap overflow en gpkscp.dll que es una librería
utilizada para autenticación con Smart Cards.
Fun Facts:
No ha existido un exploit público similar para
RDP desde Windows 98 / NT4. (MS12-020 no
cuenta, ya que el exploit de RCE nunca fue
realmente público)
Requisitos:
● Windows XP o 2003
● Remote Desktop (-p 3389)
● Formar parte de un dominio
● Autenticación vía Smart Card (default)
● No tener parche KB4022747
Windows Remote Desktop Exploit
Detección de EsteemAudit sin explotación
El ejecutable de EquationGroup:
Esteemadutotouch.exe nos
proporciona información sobre el
soporte de autenticación utilizando
Smart cards.
Cuando lo usaba EquationGroup
todos los windows 2003 y XP que
soportan Smart cards eran
vulnerables. Actualmente existe el
parche así que la herramienta de
EquationGroup no sirve para indicar
si los equipos son vulnerables.
Instalación de EsteemAudit en Metasploit
https://gist.github.com/hkm/fe705e3ff9d0df3f6eaaafb44aeca4d6
Mitigación y solución para EsteemAudit
Mitigación:
Si no utilizas Smart Cards. Deshabilitalas.
Parche:
Instala KB4022747
El parche requiere reiniciar.
LNK? WTF?
Los archivos .LNK son lo que Windows llama “Accesos directos” o
“Shortcuts”.
Windows permite que los “Accesos directos” a archivos .CPL utilicen
íconos personalizados.
Los íconos son cargados de archivos ejecutables/DLLs.
Es posible preparar archivos .LNK que ejecuten código mediante
íconos.
El nombre que le puso Equiation Group a este exploit es: FANNY
LNK: Tres parches para la misma vulnerabilidad
2 Ago 2010 16 Jun 2017
MS10-046 CVE-2017-8464
10 Mar 2015
MS15-018
●NetBIOS Session Service (NBSS) es la
cabecera TCP que se envía para establecer una
sesión SMB.
●Esta cabecera tiene un campo de longitud que
permite ocupar 217 bytes de memoria: 131,072
bytes (128 KiB) por cada vez que recibe esta
cabecera.
●Al activar esto, un atacante que inicie una gran
cantidad de conexiones al servicio será capaz
de agotar los recursos de memoria y después la
CPU en el servidor objetivo.
struct NBSS_HEADER
{
char MessageType : 8;
char Flags : 7;
int Length : 17;
};
SMBLoris
●Al ser un error de diseño, SMBLoris esta en
todos lados desde hace 20 años.
●SMB1, 2, 3 y Samba son afectados.
●Existen mitigaciones aplicables para Samba.
●Microsoft lo parchará eventualmente…
●Adivinen que pasa si deshabilitas SMB1, 2 y 3
en Windows?
SMBLoris en SMB 1? 2? 3? Samba?
Exploit de SMBLoris por Héctor Martín Cantero
●Actualizado hace unas horas.
●Usa spoofing de la IP de origen para que las
respuestas no lleguen a la IP de origen real. Por
lo que no requiere de modificaciones en el
firewall para bloquear paquetes RST.
●@marcan42 en twitter.
●Lean como funciona antes de utilizarlo:
Donde dice IP ORIGEN, NO deben poner su IP
ORIGEN ☺
Gr33tz:
UANL - FCFM
AMSI - Home Depot Cyber Security
H4cKd0g5 - Raza Mexicana
Microsoft - NSA ☺
www.underground.org.mx
Gracias.
Pedro Joaquín
@_hkm
www.websec.mx
www.hakim.ws
www.underground.org.mx