21 jul. 2017

Explotar EternalRomance y EternalSynergy en Windows 2016

Las recientes incidencias de ransomware han sido atribuidas en parte a herramientas de hackeo de la NSA, en particular al exploit EternalBlue. En la mayoría de los casos, estas herramientas sólo podían ser utilizadas contra versiones "antiguas" del sistema operativo Windows. Sin embargo, se ha logrado utilizar una versión modificada del exploit EternalSynergy contra versiones más recientes de Windows.

EternalSynergy es una de las herramientas de la NSA incluida en las revelaciones de The Shadow Brokers. Microsoft ha asegurado que EternalSynergy no funciona con las últimas versiones de Windows debido a mejoras realizadas en el Kernel del sistema operativo. Sin embargo, Worawit Wang (aka sleepya_) ha logrado adaptar la herramienta a versiones más recientes de Windows. La versión modificada de EternalSynergy ataca la misma vulnerabilidad de SMB, aunque utilizando una técnica diferente.

La nueva versión de EternalSynergy afecta una larga lista de versiones de Windows, incluyendo Windows 8.1, Windows Server 2012 y 2016. Wang asegura que, por ahora, los usuarios de Windows 10 están protegidos, pero que "esto podría cambiar". Con ello, alrededor del 75% de todas las computadoras operadas con Windows en todo el mundo son vulnerables a la nueva versión de EternalSynergy.

Wang optó por distribuir la herramienta a todo interesado en descargarla vía GitHub y ExploitDB junto con una descripción de cómo utilizarla contra computadoras vulnerables. Pero, hacer funcionar el exploit no es sencillo y Wang no ha publicado detalles sobre cómo hacerlo.
Por eso, Sheila A. Berta (aka UnaPibaGeek), Security Researcher en ElevenPaths, escribió un paso a paso de cómo explotar EternalRomance & Synergy en Windows Server 2016. Hace unos días Sheila también publicó cómo comprometer Windows 7/2008 R2 y 2012 R2 a través del exploit ETERNALBLUE.

Por lo tanto, todo usuario que aún no haya implementado la actualización de seguridad MS17-010 de Microsoft es vulnerable a potenciales ataques. Parchea!

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!