Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Explotación de vulnerabilidades recientes de Windows - Agosto 2017

3,264 views

Published on

Información sobre vulnerabilidades recientes y cómo explotarlas. EternalBlue en Windows 7, EternalRomance en Windows 2016, LNK CVE-2017-8464 y SMBLoris en Windows 10. Presentación para alumnos de la UANL Universidad Autónoma de Nuevo León impartida durante el Congreso Internacional de Seguridad de la Información CISI en agosto del 2017.

Published in: Internet
  • Be the first to comment

Explotación de vulnerabilidades recientes de Windows - Agosto 2017

  1. 1. Explotando vulnerabilidades recientes de Windows Pedro Joaquín - pjoaquin@websec.mx
  2. 2. Fundador de: ● Websec, ● Comunidad Underground México. Pentester por más de 15 años y me sigue apasionando aprender, encontrar y explotar todo tipo de vulnerabilidades. Desarrollo de herramientas: ● Routerpwn.com, ● Vecínitum de Fibra (Android), ● +20 exploits publicados, Un poco acerca de mi
  3. 3. Fuga de información de Shadow Brokers / Equation Group / NSA / TAO. Integrar y utilizar los exploits en Metasploit. Explotar la última vulnerabilidad del tipo de archivo .LNK (USB). Explotar la denegacion de servicio Slowloris. No existen parches y afectan todas las versions de Windows. De que trata esta plática
  4. 4. En una tarde tranquila de agosto del 2016, cuando de repente en Twitter…
  5. 5. Equation Group Cyber Weapons Auction - Invitation ------------------------------------------------- !!! Attention government sponsors of cyber warfare and those who profit from it !!!! How much you pay for enemies cyber weapons? Not malware you find in networks. Both sides, RAT + LP, full state sponsor tool set? We find cyber weapons made by creators of stuxnet, duqu, flame. Kaspersky calls Equation Group. We follow Equation Group traffic. We find Equation Group source range. We hack Equation Group. We find many many Equation Group cyber weapons. You see pictures. We give you some Equation Group files free, you see. This is good proof no? You enjoy!!! You break many things. You find many intrusions. You write many words. But not all, we are auction the best files.
  6. 6. The Shadow Brokers (TSB) Hacen público los exploits desarrollado por la NSA. Ofrecen un servicio de suscripción mensual a la publicación de exploits de la NSA. National Security Agency Equation Group Tailored Access Operations (TAO) Desarrollan y utilizan exploits para controlar casi cualquier red, computadora y celular. Player VS Player
  7. 7. The Shadow Brokers – Historial de leaks ●“Equation Group Cyber Weapons Auction – Invitation”: Subasta de archivos. ●“Message #5 – TrickOrTreat”: Lista de servidores comprometidos por Equation Group. ●"Message #6 - BLACK FRIDAY / CYBER MONDAY SALE: Screenshots de los nombres de exploits. ●"Don't Forget Your Base“: Mensaje a Trump y exploits de Linux. ● "Lost in Translation“: ETERNAL y todos los que listamos anteriormente. ●Y Continua…
  8. 8. The Shadow Brokers – Últimas noticias De acuerdo a su última publicación, se puede contratar su servicio de filtrado de los exploits de la NSA en agosto del 2017 a tan solo 500 ZEC o 2,000 XMR 500 ZEC = 2,036,042.65 MXN. Si quieren la dirección para el depósito tienen que solicitarla a zvg3gyomywniv8@zeroid.bit o bimigjt3xne0@mail.i2p o pjoaquin@websec.mx ☺ steemit.com/@theshadowbrokers
  9. 9. The Shadow Brokers – Blockchain RickRoll!
  10. 10. The Shadow Brokers – Blockchain RickRoll!
  11. 11. The Shadow Brokers – Blockchain RickRoll! 1never9kNNkr27UseZSHnaEHg1z8v3Mbb 1gonnaV3MFNjymS4RGvUbHACstiS8aSYz 1giveGEk184Gwep2KT4UBPTcE9oqWzCVR 1youKBMLEohsexdZtkvnTzHnc4iU7Ffty 1upAbpBEWQ467QNT7i4vBMVPzSfQ3sqoQ 1never9kNNkr27UseZSHnaEHg1z8v3Mbb 1gonnaV3MFNjymS4RGvUbHACstiS8aSYz 11etAyypstpXLQpTgoYmYzT8M2foBSBe1 1youKBMLEohsexdZtkvnTzHnc4iU7Ffty 1downAsBbRQcBfUj8rgQomqhRsNFf1jMo
  12. 12. Suficiente introducción, explotemos las vulnerabilidades!
  13. 13. VULNERABILIDADES RECIENTES Nombre Protocolo Publicación Parche EternalBlue SMB1,2 4/14/2017 Parche oficial EternalRomance SMB1,2 4/14/2017 Parche oficial EsteemAudit RDP 6/10/2017 Parche oficial LNK Execution Archivos .LNK Parche oficial SMBLoris SMB1,2,3 6/14/2017 Sin parche
  14. 14. EternalBlue / WannaCry / Petya Historia, detección y explotación de MS17-010
  15. 15. Propagación de WannaCry
  16. 16. WannaCry Propagación
  17. 17. Kill Switch #1: Como funciona WannaCry
  18. 18. Gracias @MalwareTech “Heroe Accidental”
  19. 19. Gracias @MalwareTech
  20. 20. MS17-010 - MEMES!
  21. 21. MS17-010 - MEMES!
  22. 22. MS17-010 - MEMES!
  23. 23. MS17-010 - MEMES!
  24. 24. ETERNALROCKS Usa 7 vulns de la NSA en lugar de 2
  25. 25. Detección de MS17-010 con NMap
  26. 26. Explotación de MS17-010 con Metasploit Pasos 1. msfconsole 2. search ms17-010 3. use exploit/windows/smb/ms17_010_eternalblue 4. set RHOST 192.168.179.133 5. exploit
  27. 27. Explotación de MS17-010 con Metasploit
  28. 28. Solucionar EternalBlue
  29. 29. Es recomendable deshabilitar SMB1. Solucionar EternalBlue
  30. 30. Explotación en Windows Server 2016
  31. 31. Explotación en Windows Server 2016
  32. 32. ¿Cómo funciona Esteemaudit? Requisitos para vulnerabilidad Instalación de Esteemaudit en Metasploit Detección de Esteemaudit Explotación de Esteemaudit Remediación y parche ESTEEMAUDIT – CVE-2017-0176
  33. 33. ¿Cómo funciona? Esteemaudit se aprovecha de un Inter-chunk heap overflow en gpkscp.dll que es una librería utilizada para autenticación con Smart Cards. Fun Facts: No ha existido un exploit público similar para RDP desde Windows 98 / NT4. (MS12-020 no cuenta, ya que el exploit de RCE nunca fue realmente público) Requisitos: ● Windows XP o 2003 ● Remote Desktop (-p 3389) ● Formar parte de un dominio ● Autenticación vía Smart Card (default) ● No tener parche KB4022747 Windows Remote Desktop Exploit
  34. 34. Detección de EsteemAudit sin explotación El ejecutable de EquationGroup: Esteemadutotouch.exe nos proporciona información sobre el soporte de autenticación utilizando Smart cards. Cuando lo usaba EquationGroup todos los windows 2003 y XP que soportan Smart cards eran vulnerables. Actualmente existe el parche así que la herramienta de EquationGroup no sirve para indicar si los equipos son vulnerables.
  35. 35. Instalación de EsteemAudit en Metasploit https://gist.github.com/hkm/fe705e3ff9d0df3f6eaaafb44aeca4d6
  36. 36. Explotación de EsteemAudit
  37. 37. Mitigación y solución para EsteemAudit Mitigación: Si no utilizas Smart Cards. Deshabilitalas. Parche: Instala KB4022747 El parche requiere reiniciar.
  38. 38. Centrifugadoras para enriquecer uranio
  39. 39. Stuxnet – Vector inicial: archivos .LNK
  40. 40. LNK? WTF? Los archivos .LNK son lo que Windows llama “Accesos directos” o “Shortcuts”. Windows permite que los “Accesos directos” a archivos .CPL utilicen íconos personalizados. Los íconos son cargados de archivos ejecutables/DLLs. Es posible preparar archivos .LNK que ejecuten código mediante íconos. El nombre que le puso Equiation Group a este exploit es: FANNY
  41. 41. Que pasas si buscas “FANNY” en Google?
  42. 42. LNK: Tres parches para la misma vulnerabilidad 2 Ago 2010 16 Jun 2017 MS10-046 CVE-2017-8464 10 Mar 2015 MS15-018
  43. 43. Preparación de USB malicioso
  44. 44. LNK Code Execution - CVE-2017-8464
  45. 45. https://smbloris.com/
  46. 46. ●NetBIOS Session Service (NBSS) es la cabecera TCP que se envía para establecer una sesión SMB. ●Esta cabecera tiene un campo de longitud que permite ocupar 217 bytes de memoria: 131,072 bytes (128 KiB) por cada vez que recibe esta cabecera. ●Al activar esto, un atacante que inicie una gran cantidad de conexiones al servicio será capaz de agotar los recursos de memoria y después la CPU en el servidor objetivo. struct NBSS_HEADER { char MessageType : 8; char Flags : 7; int Length : 17; }; SMBLoris
  47. 47. Que tanto RAM puede ocupar?
  48. 48. ●Al ser un error de diseño, SMBLoris esta en todos lados desde hace 20 años. ●SMB1, 2, 3 y Samba son afectados. ●Existen mitigaciones aplicables para Samba. ●Microsoft lo parchará eventualmente… ●Adivinen que pasa si deshabilitas SMB1, 2 y 3 en Windows? SMBLoris en SMB 1? 2? 3? Samba?
  49. 49. Exploit de SMBLoris por Héctor Martín Cantero ●Actualizado hace unas horas. ●Usa spoofing de la IP de origen para que las respuestas no lleguen a la IP de origen real. Por lo que no requiere de modificaciones en el firewall para bloquear paquetes RST. ●@marcan42 en twitter. ●Lean como funciona antes de utilizarlo: Donde dice IP ORIGEN, NO deben poner su IP ORIGEN ☺
  50. 50. Gr33tz: UANL - FCFM AMSI - Home Depot Cyber Security H4cKd0g5 - Raza Mexicana Microsoft - NSA ☺ www.underground.org.mx
  51. 51. Gracias. Pedro Joaquín @_hkm www.websec.mx www.hakim.ws www.underground.org.mx

×