Global Preloader
Noticia Internacional
(07/Feb/2018) Herramientas de piratería ligadas a la NSA van a Metasploit

Herramientas de piratería ligadas a la NSA van a Metasploit

Tres herramientas de piratería supuestamente robadas del Equation Group vinculado a la Agencia de Seguridad Nacional y publicadas el año pasado fueron recientemente trasladadas al Metasploit Framework de Rapid7.

Los tres exploits, EternalSynergy, EternalRomance y EternalChampion, se lanzaron públicamente en abril de 2017 junto con el EternalBlue más popular, un mes después de que Microsoft los parcheó .

Las herramientas podrían usarse previamente solo en varias versiones anteriores de Windows, aunque EternalSynergy también se modificó para apuntar a versiones recientes de Windows. El año pasado, EternalRomance se usó en el ataque global Bad Rabbit ransomware .

Los tres exploits ahora se pueden usar para apuntar a todas las versiones de Windows desde Windows 2000, revela Sean Dillon, un investigador de seguridad con RiskSense que utiliza el control en línea de @ zerosum0x0. El investigador modificó los exploits y los fusionó en el Metasploit Framework de código abierto.

Las tres herramientas apuntan a dos vulnerabilidades en la plataforma de Microsoft, CVE-2017-0146, una condición de carrera con solicitudes de transacción explotadas por EternalChampion y EternalSynergy, y CVE-2017-0143, una confusión de tipo entre WriteAndX y solicitudes de transacción explotadas por EternalRomance y EternalSynergy.

El investigador explica que el módulo no utiliza Kernel Shellcode para organizar Meterpreter, lo que significa que los interesados ​​en aprovecharlo necesitarán utilizar la evasión para sus cargas útiles. Sin embargo, la herramienta puede usarse para ejecutar cualquier comando como Sistema o para organizar Meterpreter.

"Este módulo es altamente confiable y preferido sobre EternalBlue, donde se puede acceder a un Named Pipe para inicios de sesión anónimos (generalmente, todo antes de Vista, y relativamente común para las computadoras de dominio en la naturaleza)", dice el investigador.

El módulo no intenta la ejecución del shellcode, sino que sobrescribe las estructuras de la sesión de conexión SMB, logrando así la sesión Admin / SYSTEM.

"El módulo de MSF es más eficiente (reduce el conteo / relleno de paquetes), revisa las tuberías adicionales, rocía la aleatoriedad cuando es posible y tiene la implementación psexec DCERPC de Metasploit unida a ella. Por la última razón, se usa Rex y no RubySMB ", explica el investigador.

Los exploits se pueden usar tanto en arquitecturas de 32 bits como de 64 bits y se dirigen a todas las iteraciones de plataforma desde Windows 2000 a Windows 10 y Windows Server 2016.

El módulo está disponible en GitHub. Como señala Dillon, ha sido creado para la investigación académica y el desarrollo de defensas, no para ser usado en ataques, excepto donde esté explícitamente autorizado.