24 abr 2017

Integración de #Eternalblue y #Doublepulsar de #ShadowBroker a #Metasploit

El pasado viernes 14 de Abril, The Shadow Brokers publicó una gran cantidad de herramientas pertenecientes al Arsenal de la NSA. Se puede encontrar dichas herramientas en el repositorio de Github de misterch0c.

Sheila A. Berta (@UnaPibaGeek) de ElevenPaths publicó en Exploit-DB un paper, también con versión en inglés, en el que se explica cómo explotar la vulnerabilidad Eternalblue & Doublepulsar para obtener una Shell apoyándose en Powershell Empire para lograr, posteriormente, un Meterpreter de Metasploit. Gran trabajo, sin duda, de Sheila.

Sheila formuló una pregunta interesante en su paper y es: ¿Por qué Eternalblue & Doublepulsar? La respuesta es sencilla, ya que entre los exploits que se publicaron, Eternalblue es el único que se puede utilizar para atacar sistemas Windows 7 y Windows Server 2008 R2 sin necesidad de autenticación. Por lo que, Eternalblue es el exploit que nos permitirá aprovecharnos de un fallo de seguridad en el protocolo SMB para que, posteriormente, Doublepulsar pueda inyectar remotamente, por ejemplo, una DLL, ya que existen otras posibilidades.

Dicho esto, el pasado jueves mis compañeros Sheila y Claudio Caracciolo (@holesec) se preguntaron por la posibilidad de hacer una migración del exploit Eternalblue que es utilizado en Fuzzbunch en el leak a Metasploit.

El gusto por la seguridad y por la tecnología nos puede y nos pusimos de forma rápida y ágil manos a la obra en ElevenPaths. Ha sido divertido pasar unas horas locas trabajando en esto e intentando hacer un módulo que pueda ayudar a auditar los sistemas Microsoft dónde Eternalblue sigue presente.

La herramienta está disponible en el repositorio de Github y en el siguiente vídeo tienes una demostración de este módulo funcionando.

Contenido completo en fuente original El Lado del Mal

Suscríbete a nuestro Boletín

2 comentarios:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!