Información sobre vulnerabilidades recientes y cómo explotarlas. EternalBlue en Windows 7, EternalRomance en Windows 2016, LNK CVE-2017-8464 y SMBLoris en Windows 10. Presentación para alumnos de la UANL Universidad Autónoma de Nuevo León impartida durante el Congreso Internacional de Seguridad de la Información CISI en agosto del 2017.
3. Fundador de:
● Websec,
● Comunidad Underground México.
Pentester por más de 15 años y me sigue apasionando aprender, encontrar y
explotar todo tipo de vulnerabilidades.
Desarrollo de herramientas:
● Routerpwn.com,
● Vecínitum de Fibra (Android),
● +20 exploits publicados,
Un poco acerca de mi
4. Fuga de información de Shadow Brokers / Equation Group / NSA / TAO.
Integrar y utilizar los exploits en Metasploit.
Explotar la última vulnerabilidad del tipo de archivo .LNK (USB).
Explotar la denegacion de servicio Slowloris. No existen parches y afectan
todas las versions de Windows.
De que trata esta plática
5. En una tarde tranquila de agosto del 2016,
cuando de repente en Twitter…
6.
7. Equation Group Cyber Weapons Auction - Invitation
-------------------------------------------------
!!! Attention government sponsors of cyber warfare and those who
profit from it !!!!
How much you pay for enemies cyber weapons? Not malware you find
in networks. Both sides, RAT + LP, full state sponsor tool set? We
find cyber weapons made by creators of stuxnet, duqu, flame.
Kaspersky calls Equation Group. We follow Equation Group traffic.
We find Equation Group source range. We hack Equation Group. We
find many many Equation Group cyber weapons. You see pictures. We
give you some Equation Group files free, you see. This is good
proof no? You enjoy!!! You break many things. You find many
intrusions. You write many words. But not all, we are auction the
best files.
8. The Shadow Brokers (TSB)
Hacen público los exploits
desarrollado por la NSA.
Ofrecen un servicio de suscripción
mensual a la publicación de exploits
de la NSA.
National Security Agency
Equation Group
Tailored Access Operations (TAO)
Desarrollan y utilizan exploits para
controlar casi cualquier red,
computadora y celular.
Player VS Player
9.
10.
11.
12.
13.
14.
15.
16. The Shadow Brokers – Historial de leaks
●“Equation Group Cyber Weapons Auction – Invitation”: Subasta de archivos.
●“Message #5 – TrickOrTreat”: Lista de servidores comprometidos por Equation Group.
●"Message #6 - BLACK FRIDAY / CYBER MONDAY SALE: Screenshots de los nombres de exploits.
●"Don't Forget Your Base“: Mensaje a Trump y exploits de Linux.
● "Lost in Translation“: ETERNAL y todos los que listamos anteriormente.
●Y Continua…
17. The Shadow Brokers – Últimas noticias
De acuerdo a su última
publicación, se puede contratar su
servicio de filtrado de los exploits
de la NSA en agosto del 2017 a
tan solo 500 ZEC o 2,000 XMR
500 ZEC = 2,036,042.65 MXN. Si
quieren la dirección para el
depósito tienen que solicitarla a
zvg3gyomywniv8@zeroid.bit o
bimigjt3xne0@mail.i2p o
pjoaquin@websec.mx ☺
steemit.com/@theshadowbrokers
48. ¿Cómo funciona Esteemaudit?
Requisitos para vulnerabilidad
Instalación de Esteemaudit en Metasploit
Detección de Esteemaudit
Explotación de Esteemaudit
Remediación y parche
ESTEEMAUDIT – CVE-2017-0176
49. ¿Cómo funciona?
Esteemaudit se aprovecha de un Inter-chunk
heap overflow en gpkscp.dll que es una librería
utilizada para autenticación con Smart Cards.
Fun Facts:
No ha existido un exploit público similar para
RDP desde Windows 98 / NT4. (MS12-020 no
cuenta, ya que el exploit de RCE nunca fue
realmente público)
Requisitos:
● Windows XP o 2003
● Remote Desktop (-p 3389)
● Formar parte de un dominio
● Autenticación vía Smart Card (default)
● No tener parche KB4022747
Windows Remote Desktop Exploit
50. Detección de EsteemAudit sin explotación
El ejecutable de EquationGroup:
Esteemadutotouch.exe nos
proporciona información sobre el
soporte de autenticación utilizando
Smart cards.
Cuando lo usaba EquationGroup
todos los windows 2003 y XP que
soportan Smart cards eran
vulnerables. Actualmente existe el
parche así que la herramienta de
EquationGroup no sirve para indicar
si los equipos son vulnerables.
53. Mitigación y solución para EsteemAudit
Mitigación:
Si no utilizas Smart Cards. Deshabilitalas.
Parche:
Instala KB4022747
El parche requiere reiniciar.
58. LNK? WTF?
Los archivos .LNK son lo que Windows llama “Accesos directos” o
“Shortcuts”.
Windows permite que los “Accesos directos” a archivos .CPL utilicen
íconos personalizados.
Los íconos son cargados de archivos ejecutables/DLLs.
Es posible preparar archivos .LNK que ejecuten código mediante
íconos.
El nombre que le puso Equiation Group a este exploit es: FANNY
66. ●NetBIOS Session Service (NBSS) es la
cabecera TCP que se envía para establecer una
sesión SMB.
●Esta cabecera tiene un campo de longitud que
permite ocupar 217 bytes de memoria: 131,072
bytes (128 KiB) por cada vez que recibe esta
cabecera.
●Al activar esto, un atacante que inicie una gran
cantidad de conexiones al servicio será capaz
de agotar los recursos de memoria y después la
CPU en el servidor objetivo.
struct NBSS_HEADER
{
char MessageType : 8;
char Flags : 7;
int Length : 17;
};
SMBLoris
68. ●Al ser un error de diseño, SMBLoris esta en
todos lados desde hace 20 años.
●SMB1, 2, 3 y Samba son afectados.
●Existen mitigaciones aplicables para Samba.
●Microsoft lo parchará eventualmente…
●Adivinen que pasa si deshabilitas SMB1, 2 y 3
en Windows?
SMBLoris en SMB 1? 2? 3? Samba?
69. Exploit de SMBLoris por Héctor Martín Cantero
●Actualizado hace unas horas.
●Usa spoofing de la IP de origen para que las
respuestas no lleguen a la IP de origen real. Por
lo que no requiere de modificaciones en el
firewall para bloquear paquetes RST.
●@marcan42 en twitter.
●Lean como funciona antes de utilizarlo:
Donde dice IP ORIGEN, NO deben poner su IP
ORIGEN ☺
70. Gr33tz:
UANL - FCFM
AMSI - Home Depot Cyber Security
H4cKd0g5 - Raza Mexicana
Microsoft - NSA ☺
www.underground.org.mx