Kernel panic probando Windows SMB RCE (MS17-010)

Iniciado por Schaiden, 14 Mayo 2017, 06:30 AM

0 Miembros y 1 Visitante están viendo este tema.

Schaiden

Muy buenas! Como muchos sabran estos días se dieron a conocer vulnerabilidades gravisimas que afectaron a Telefónica y otras empresas y técnicas de la CIA, todas afectando a la mayoría de sistemas Windows. Estuve leyendo un poco sobre el ransomware Wanna Cry, y descubrí que usa como base ésta nueva vulnerabilidad en el protocolo SMB que corre en el puerto 445 de Windows y que es accesible desde adentro de una LAN. En base a éste fallo, se creo el malware que se propaga y cifra todo lo que esté a su paso. La forma para no ser vulnerable es a través de la actualización de windows MS17-010. Bueno, queriendo experimentar un poco con ésto, encontré éste exploit en exploit-db.com:

https://www.exploit-db.com/exploits/41987/

Abrí una máquina virtual con Kali, descargue el exploit, lo llame ms17010.py, le di permisos de ejecución, y lo ejecute de la siguiente forma :

python3 ms17010.py ipaddress

en ipaddress utilice la ip privada de mi mi Windows 7 (el SO que tengo instalado en disco y no corro virtualizado). Luego de ejecutarlo esperaba encontrarme con varios errores en el interprete de python que debería depurar, como suele pasar frecuentemente con los exploits de exploit-db.com, pero no, mucho peor... Windows me tiró Kernel Panic (BlueScreen), me gustaría saber si ustedes lo probaron y les paso lo mismo que a mi, o si encontraron algo que modificar y lo modificaron para dejarlo funcionando.

Saludos y muchas gracias desde ya!

MCKSys Argentina

Ese exploit lo hizo Juan Sacco...  :xD :xD :xD :xD

No esperes que funcione (para nada)

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Schaiden

Si jaja, el exploit ni estaba verificado por exploit-db. Seguí buscando un poco más y ahora encontré una actualización reciente de un exploit (etternalBlue), que se aproveche de éste mismo fallo.

Aca el link:

https://github.com/RiskSense-Ops/MS17-010

Todavía ni lo lei ni lo probé, cuando tenga tiempo me pongo a leer bien y les cuento lo que me paso.

Saludos!

MCKSys Argentina

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Schaiden

Gracias MCKSys! :D Recién probé el exploit contra un Windows 7 Ultimate SP1 64 bits ENG y funciono a la perfección! :D Según dice el exploit, funciona para cualquier Win7 y Win Server 2008 de 64 bits. El bug de SMB de todas formas está presente en TODAS las versiones de Windows según tengo entendido, ahora habría que ver que modificaciones hacer en el exploit para poder targetear otros sistemas. Supongo que habría que cambiar las siguientes 4 direcciones de memoria dependiendo la versión de Windows que queramos atacar:

'Targets'        =>
        [
          [ 'Windows 7 and Server 2008 (x64) All Service Packs',
            {
              'Platform'       => 'win',
              'Arch'           => [ ARCH_X64 ],

              'ep_thl_b'       => 0x308,  # EPROCESS.ThreadListHead.Blink offset
              'et_alertable'   => 0x4c,   # ETHREAD.Alertable offset
              'teb_acp'        => 0x2c8,  # TEB.ActivationContextPointer offset
              'et_tle'         => 0x420   # ETHREAD.ThreadListEntry offset
            }
          ],
        ],


La verdad, yo no soy para nada experto en exploit writing, soy novato en el asunto, y hacía demasiado tiempo que no encontraba una herramienta tan poderosa y lista para usar como ésta... Es como el ms08_067_netapi de la actualidad. La única limitación es que el firewall solo permite llegar a SMB desde la red LAN, pero de todas formas en éstos momentos millones de equipos sin actualizaciones automáticas son vulnerables, y gente con muy pocos conocimientos puede llegar a hacer grandes destrozos. Por ejemplo, el vector de ataque más simple que se me ocurre es salir en auto atacando redes WEP cercanas, y una vez adentro escanear los hosts de la red, y atacar con el exploit a los hosts con Windows... O sea, en éste momento utilizando las más simples y automáticas herramientas de hacking, cualquier persona sin conocimientos de programación, redes, sistemas operativos, seguridad, puede llegar a hacer casi lo que quiera...

Por la seguridad de todos, recomiendo que si no tienen la actualización MS17-010, la descarguen YA MISMO de aca:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Saludos, y espero que se protegan y no usen ésto para mal.