Siguenos

  • Facebook
  • Twitter
  • YouTube
  • Instagram

© 2016 Derechos Reservados a Masterbitz Review

  • Masterbitz

Los Exploits Filtrados de la NSA Funcionan en Todos los Sistemas Operativos de Microsoft desde Windo


Un investigador de seguridad ha hecho que tres exploits filtrados de la NSA funcionen en todas las versiones de Windows desde Windows 2000. Estos exploits fueron filtrados el año pasado por The Shadow Brokers. Este es el mismo grupo que ha filtrado el notorio exploit de EternalBlue que se usó para impulsar la mayor campaña de ransomware en línea que esta industria haya visto hasta ahora.

Los tres exploits en cuestión ahora incluyen EternalChampion, EternalRomance y EternalSynergy, todos los cuales fueron filtrados por TSB en abril del año pasado. Un investigador de seguridad ahora ha trabajado en el código fuente para hacer que todos estos se ejecuten en todas las versiones de Windows lanzadas en las últimas dos décadas para "fines de investigación académica y para el desarrollo de técnicas defensivas efectivas".

House & Senate acaba de aprobar los poderes de vigilancia invasiva sin orden de NSA - ¿Trump lo detendrá?

El investigador detrás de esto es Sean Dillon de RiskSense (@ zerosum0x0 en Twitter). El esfuerzo utiliza las vulnerabilidades de seguridad rastreadas como CVE-2017-0143 (EternalRomance, EternalSynergy) y CVE-2017-0146 (EternalChampion, EternalSynergy). Mientras que algunos podrían sugerir que Dillon ha facilitado a los atacantes el uso de estos exploits, la comunidad criminal ha estado utilizando extensamente vulnerabilidades de la NSA durante los últimos 8 meses aproximadamente. Dillon ha fusionado estos exploits con el proyecto de prueba de penetración de código abierto, Metasploit Framework.

Al soltar su código en GitHub, Dillon agregó que "este módulo es altamente confiable y preferido sobre EternalBlue donde se puede acceder a un Canalización con nombre para inicios de sesión anónimos (generalmente todo antes de Vista y relativamente común para las computadoras de dominio en libertad)".

En lugar de ir a la ejecución de shellcode, sobrescribe las estructuras de la sesión de conexión SMB para obtener la sesión Admin / SYSTEM. El módulo de MSF [Metasploit Framework] es más delicado (reduce el conteo / relleno de paquetes), comprueba las tuberías extra nombradas, rocía la aleatoriedad donde sea posible y tiene la implementación psexec DCERPC de Metasploit atornillada.

El investigador de seguridad agregó que los exploits modificados funcionan tanto en las arquitecturas de 32 bits como de 64 bits. Las siguientes versiones son vulnerables / compatibles:

Esta no es la primera vez que los investigadores han modificado los exploits de la NSA para fines de investigación y pruebas con lapiceros. Sin embargo, es probablemente la primera vez que casi una década de sistemas son vulnerables a estos exploits. Dillon sí incluyó una cláusula de exención de responsabilidad con su comunicado diciendo que esto es "puramente para fines de investigación académica y para el desarrollo de técnicas defensivas efectivas, y no está destinado a ser utilizado para atacar sistemas, excepto donde esté explícitamente autorizado".


4 vistas