Hace pocos días escribí algunos post explicando cómo comprometer equipos con Windows 7/2008 R2 y 2012 R2 a través del famoso exploit ETERNALBLUE. Esta vez estuve jugando con ETERNALROMANCE con el objetivo de llegar un poco más lejos y ganar un acceso en Windows Server 2016.
Cuando Microsoft publicó los parches para la vulnerabilidad MS17-010, quedó expuesto que el problema afectaba desde Windows 7 (desde Windows Vista en realidad, pero… bueno) hasta Windows Server 2016. Sin embargo, la versión de ETERNALROMANCE publicada por TheShadowBrokers, tiene una gran inestabilidad al momento de impactar sistemas con versiones de Windows Server 2012 en adelante, provocando la mayoría de las veces el crítico pantallazo azul.
La buena (¿o mala?) noticia, es que hace pocos días se publicó un exploit que aprovecha el bug de ETERNALROMANCE/SYNERGY, con mejoras en el método de explotación, para hacerlo más estable al momento de atacar sistemas con Windows Server 2012 y 2016. Pero lo cierto es que, al fiel estilo de su autor (Sleepya), si se quiere utilizar dicho exploit es necesario ingeniárselas un poco, entender cómo funciona y modificar algunas pequeñas cosas para lograr que, al momento de impactar un objetivo, ocurra lo que nosotros queramos.
Es por eso que tras haberlo analizado, me decidí a escribir un nuevo "How to” explicando paso a paso todo lo necesario para hacer funcionar el exploit de Sleepya correctamente y modificar su comportamiento con el fin de obtener una sesión de meterpreter sobre el equipo objetivo.
El paper fue publicado en su versión en inglés en exploit-db, y en este artículo puedes leer el mismo en español. :-). Enjoy! Nos vemos en DefCON.
Autor: Sheila A. Berta (@UnaPibaGeek) – Security Researcher en ElevenPaths.
Figura 1: Cómo explotar EternalRomance & Synergy en Windows Server 2016 |
Cuando Microsoft publicó los parches para la vulnerabilidad MS17-010, quedó expuesto que el problema afectaba desde Windows 7 (desde Windows Vista en realidad, pero… bueno) hasta Windows Server 2016. Sin embargo, la versión de ETERNALROMANCE publicada por TheShadowBrokers, tiene una gran inestabilidad al momento de impactar sistemas con versiones de Windows Server 2012 en adelante, provocando la mayoría de las veces el crítico pantallazo azul.
Figura 2: Versión EternalRomance del exploit |
La buena (¿o mala?) noticia, es que hace pocos días se publicó un exploit que aprovecha el bug de ETERNALROMANCE/SYNERGY, con mejoras en el método de explotación, para hacerlo más estable al momento de atacar sistemas con Windows Server 2012 y 2016. Pero lo cierto es que, al fiel estilo de su autor (Sleepya), si se quiere utilizar dicho exploit es necesario ingeniárselas un poco, entender cómo funciona y modificar algunas pequeñas cosas para lograr que, al momento de impactar un objetivo, ocurra lo que nosotros queramos.
Figura 3: PoC de ETERNALROMANCE/SYNERGY en Windows Server 2016
Es por eso que tras haberlo analizado, me decidí a escribir un nuevo "How to” explicando paso a paso todo lo necesario para hacer funcionar el exploit de Sleepya correctamente y modificar su comportamiento con el fin de obtener una sesión de meterpreter sobre el equipo objetivo.
El paper fue publicado en su versión en inglés en exploit-db, y en este artículo puedes leer el mismo en español. :-). Enjoy! Nos vemos en DefCON.
Autor: Sheila A. Berta (@UnaPibaGeek) – Security Researcher en ElevenPaths.
Como llegas a ese punto?
ResponderEliminar