Explotando vulnerabilidades

recientes de WindowsPedro Joaquín - pjoaquin@websec.mx

Fundador de:

● Websec,

● Comunidad Underground México.

Pentester por más de 15 años y me sigue apasionando aprender, encontrar y

explotar todo tipo de vulnerabilidades.

Desarrollo de herramientas:

● Routerpwn.com,

● Vecínitum de Fibra (Android),

● +20 exploits publicados,

Un poco acerca de mi

Fuga de información de Shadow Brokers / Equation Group / NSA / TAO.

Integrar y utilizar los exploits en Metasploit.

Explotar la última vulnerabilidad del tipo de archivo .LNK (USB).

Explotar la denegacion de servicio Slowloris. No existen parches y afectan

todas las versions de Windows.

De que trata esta plática

En una tarde tranquila de agosto del 2016,

cuando de repente en Twitter…

Equation Group Cyber Weapons Auction - Invitation

-------------------------------------------------

!!! Attention government sponsors of cyber warfare and those who

profit from it !!!!

How much you pay for enemies cyber weapons? Not malware you find

in networks. Both sides, RAT + LP, full state sponsor tool set? We

find cyber weapons made by creators of stuxnet, duqu, flame.

Kaspersky calls Equation Group. We follow Equation Group traffic.

We find Equation Group source range. We hack Equation Group. We

find many many Equation Group cyber weapons. You see pictures. We

give you some Equation Group files free, you see. This is good

proof no? You enjoy!!! You break many things. You find many

intrusions. You write many words. But not all, we are auction the

best files.

The Shadow Brokers (TSB)

Hacen público los exploits

desarrollado por la NSA.

Ofrecen un servicio de suscripción

mensual a la publicación de exploits

de la NSA.

National Security Agency

Equation Group

Tailored Access Operations (TAO)

Desarrollan y utilizan exploits para

controlar casi cualquier red,

computadora y celular.

Player VS Player

The Shadow Brokers – Historial de leaks

●“Equation Group Cyber Weapons Auction – Invitation”: Subasta de archivos.

●“Message #5 – TrickOrTreat”: Lista de servidores comprometidos por Equation Group.

●"Message #6 - BLACK FRIDAY / CYBER MONDAY SALE: Screenshots de los nombres de exploits.

●"Don't Forget Your Base“: Mensaje a Trump y exploits de Linux.

● "Lost in Translation“: ETERNAL y todos los que listamos anteriormente.

●Y Continua…

The Shadow Brokers – Últimas noticias

De acuerdo a su última

publicación, se puede contratar su

servicio de filtrado de los exploits

de la NSA en agosto del 2017 a

tan solo 500 ZEC o 2,000 XMR

500 ZEC = 2,036,042.65 MXN. Si

quieren la dirección para el

depósito tienen que solicitarla a

zvg3gyomywniv8@zeroid.bit o

bimigjt3xne0@mail.i2p o

pjoaquin@websec.mx ☺

steemit.com/@theshadowbrokers

The Shadow Brokers – Blockchain RickRoll!

The Shadow Brokers – Blockchain RickRoll!

The Shadow Brokers – Blockchain RickRoll!1never9kNNkr27UseZSHnaEHg1z8v3Mbb

1gonnaV3MFNjymS4RGvUbHACstiS8aSYz

1giveGEk184Gwep2KT4UBPTcE9oqWzCVR

1youKBMLEohsexdZtkvnTzHnc4iU7Ffty

1upAbpBEWQ467QNT7i4vBMVPzSfQ3sqoQ

1never9kNNkr27UseZSHnaEHg1z8v3Mbb

1gonnaV3MFNjymS4RGvUbHACstiS8aSYz

11etAyypstpXLQpTgoYmYzT8M2foBSBe1

1youKBMLEohsexdZtkvnTzHnc4iU7Ffty

1downAsBbRQcBfUj8rgQomqhRsNFf1jMo

Suficiente introducción,

explotemos las vulnerabilidades!

VULNERABILIDADES RECIENTES

Nombre Protocolo Publicación Parche

EternalBlue SMB1,2 4/14/2017 Parche oficial

EternalRomance SMB1,2 4/14/2017 Parche oficial

EsteemAudit RDP 6/10/2017 Parche oficial

LNK Execution Archivos .LNK Parche oficial

SMBLoris SMB1,2,3 6/14/2017 Sin parche

EternalBlue / WannaCry / PetyaHistoria, detección y explotación de MS17-010

Propagación de WannaCry

WannaCry Propagación

Kill Switch #1:

Como funciona WannaCry

Gracias @MalwareTech “Heroe Accidental”

Gracias @MalwareTech

MS17-010 - MEMES!

MS17-010 - MEMES!

MS17-010 - MEMES!

MS17-010 - MEMES!

ETERNALROCKS Usa 7 vulns de la NSA en lugar de 2

Detección de MS17-010 con NMap

Explotación de MS17-010 con Metasploit

Pasos

1. msfconsole

2. search ms17-010

3. use exploit/windows/smb/ms17_010_eternalblue

4. set RHOST 192.168.179.133

5. exploit

Explotación de MS17-010 con Metasploit

Solucionar EternalBlue

Es recomendable deshabilitar SMB1.

Solucionar EternalBlue

Explotación en Windows Server 2016

Explotación en Windows Server 2016

¿Cómo funciona Esteemaudit?

Requisitos para vulnerabilidad

Instalación de Esteemaudit en Metasploit

Detección de Esteemaudit

Explotación de Esteemaudit

Remediación y parche

ESTEEMAUDIT – CVE-2017-0176

¿Cómo funciona?

Esteemaudit se aprovecha de un Inter-chunk

heap overflow en gpkscp.dll que es una librería

utilizada para autenticación con Smart Cards.

Fun Facts:

No ha existido un exploit público similar para

RDP desde Windows 98 / NT4. (MS12-020 no

cuenta, ya que el exploit de RCE nunca fue

realmente público)

Requisitos:

● Windows XP o 2003

● Remote Desktop (-p 3389)

● Formar parte de un dominio

● Autenticación vía Smart Card (default)

● No tener parche KB4022747

Windows Remote Desktop Exploit

Detección de EsteemAudit sin explotación

El ejecutable de EquationGroup:

Esteemadutotouch.exe nos

proporciona información sobre el

soporte de autenticación utilizando

Smart cards.

Cuando lo usaba EquationGroup

todos los windows 2003 y XP que

soportan Smart cards eran

vulnerables. Actualmente existe el

parche así que la herramienta de

EquationGroup no sirve para indicar

si los equipos son vulnerables.

Instalación de EsteemAudit en Metasploit

https://gist.github.com/hkm/fe705e3ff9d0df3f6eaaafb44aeca4d6

Explotación de EsteemAudit

Mitigación y solución para EsteemAudit

Mitigación:

Si no utilizas Smart Cards. Deshabilitalas.

Parche:

Instala KB4022747

El parche requiere reiniciar.

Centrifugadoras para enriquecer uranio

Stuxnet – Vector inicial: archivos .LNK

LNK? WTF?

Los archivos .LNK son lo que Windows llama “Accesos directos” o

“Shortcuts”.

Windows permite que los “Accesos directos” a archivos .CPL utilicen

íconos personalizados.

Los íconos son cargados de archivos ejecutables/DLLs.

Es posible preparar archivos .LNK que ejecuten código mediante

íconos.

El nombre que le puso Equiation Group a este exploit es: FANNY

Que pasas si buscas “FANNY” en Google?

LNK: Tres parches para la misma vulnerabilidad

2 Ago 2010 16 Jun 2017

MS10-046 CVE-2017-8464

10 Mar 2015

MS15-018

Preparación de USB malicioso

LNK Code Execution - CVE-2017-8464

https://smbloris.com/

●NetBIOS Session Service (NBSS) es la

cabecera TCP que se envía para establecer una

sesión SMB.

●Esta cabecera tiene un campo de longitud que

permite ocupar 217 bytes de memoria: 131,072

bytes (128 KiB) por cada vez que recibe esta

cabecera.

●Al activar esto, un atacante que inicie una gran

cantidad de conexiones al servicio será capaz

de agotar los recursos de memoria y después la

CPU en el servidor objetivo.

struct NBSS_HEADER

{

char MessageType : 8;

char Flags : 7;

int Length : 17;

};

SMBLoris

Que tanto RAM puede ocupar?

●Al ser un error de diseño, SMBLoris esta en

todos lados desde hace 20 años.

●SMB1, 2, 3 y Samba son afectados.

●Existen mitigaciones aplicables para Samba.

●Microsoft lo parchará eventualmente…

●Adivinen que pasa si deshabilitas SMB1, 2 y 3

en Windows?

SMBLoris en SMB 1? 2? 3? Samba?

Exploit de SMBLoris por Héctor Martín Cantero

●Actualizado hace unas horas.

●Usa spoofing de la IP de origen para que las

respuestas no lleguen a la IP de origen real. Por

lo que no requiere de modificaciones en el

firewall para bloquear paquetes RST.

●@marcan42 en twitter.

●Lean como funciona antes de utilizarlo:

Donde dice IP ORIGEN, NO deben poner su IP

ORIGEN ☺

Gr33tz:

UANL - FCFM

AMSI - Home Depot Cyber Security

H4cKd0g5 - Raza Mexicana

Microsoft - NSA ☺

www.underground.org.mx

Gracias.

Pedro Joaquín

@_hkm

www.websec.mx

www.hakim.ws

www.underground.org.mx