Buscar este blog

lunes, 15 de mayo de 2017

¿Cuál ha sido la vulnerabilidad que ha explotado el ransomware que ha puesto en jaque a Telefónica y a otras grandes compañías?


Bueno, ya saben que ahora está en primera plana la infección por ransomware en Telefónica y en otras grandes empresas, incluso fuera de España, que ha hecho que todos los medios se agiten, ya que han surgido numerosos mensajes en las redes sociales con imágenes del ransom y correos de distintos departamentos rogando a los usuarios que apaguen inmediatamente sus equipos (incluso audios). Nosotros no vamos a entrar en qué compañías se han visto afectadas y cuáles no, pero si nos parece tremendamente curioso saber cuál ha sido la vulnerabilidad que ha explotado el ransomware y ha hecho que haya puesto a tantas empresas en jaque en un periodo tan corto de tiempo.

Lamentablemente o afortunadamente, no he tenido ningún caso todavía que haya podido analizar directamente, por lo que me sustento en suposiciones basadas en lo que he leído en las redes y lo que me han contado varios compañeros y colegas, y casi todas apuntaban a un RCE en MsMpEng, el conocido "crazy bad".

MsMpEng es el servicio de Protección contra Malware que está habilitado por defecto en Windows 8, 8.1, 10, Windows Server 2012 y posteriores. Además, Microsoft Security Essentials, System Center Endpoint Protection y otros productos de seguridad de Microsoft comparten el mismo core. MsMpEng se ejecuta como NT AUTHORITY\SYSTEM sin sandboxing y es accesible remotamente sin autenticación a través de varios servicios de Windows, incluidos Exchange, IIS, etc.

MsMpEng utiliza un minifiltro para interceptar e inspeccionar toda la actividad del sistema de archivos del sistema, por lo que basta con escribir cualquier contenido en cualquier lugar del disco (por ejemplo, caché, archivos temporales de Internet, descargas (incluso descargas no completadas),etc para acceder a la funcionalidad en mpengine, su componente principal responsable de la exploración y el análisis.

Es decir, un atacante puede acceder a la funcionalidad de mpengine simplemente enviando un mensaje de correo electrónico a la víctima (sin que sea necesario incluso abrirlo), visitando enlaces en un navegador web, por mensajería instantánea, etc. Mpengine es una superficie de ataque extensa y compleja, compuesta por manejadores de docenas de formatos de archivo, packers y crypters de ejecutable, emuladores de sistemas completos e intérpretes para varias arquitecturas y lenguajes etc. Como decimos, accesible por atacantes remotos porque se trata del motor antimalware que analiza cualquier actividad en el filesystem...

¿Qué pasaría entonces si de forma remota pudiera explotarse un vulnerabilidad en MsMpEng? Pues que accederíamos a la máquina de la víctima de forma remota con privilegios de SYSTEM... y sí... la vulnerabilidad existe.

Es lo que se ha denominado como "crazy bad" y corresponde a la vulnerabilidad con CVE CVE-2017-0290. Los señores de Microsoft la han considerado tan crítica que hace un par de días publicaron un parche de emergencia en el Microsoft Security Advisory 4022344. No es para menos, tenemos por tanto una vulnerabilidad crítica que afecta a casi todas las versiones de Windows (creo que XP se salva lol!), cuyo parche ha sido publicado de recientemente y fuera de ciclo por lo que muchas empresas todavía no han parcheado los sistemas, y menos un viernes víspera de fin de semana y para algunos puente.

Por otro lado, el vector de infección parece ser una campaña de spam en el que se envían mensajes con el adjunto factura.js en un zip. ¿Por qué Javascript? Pues porque Windows utiliza NScript, un componente del susodicho mpengine, que se encarga de evaluar el código javascript cuando se detecta cualquier actividad en el filesystem con código en este lenguaje. De hecho probablemente no hubiese hecho falta ni ponerle la extensión .js porque MsMpEng utiliza su propio sistema de identificación de contenido y los tipos MIME y las extensiones de archivo no son relevantes para esta vulnerabilidad. Recordemos que si se compromete MsMpEng es posible ejecutar cualquier malware en un entorno "unsandboxed" y con máximos privilegios...

Parecía lógico pensar que un malware, en este caso la versión 2.0 del ransomware WanaCrypt0r, que ha afectado a tantas y grandes empresas hubiera podido utilizar esa vulnerabilidad. Pero no...
Actualización 13/05/2017
Después de la resaca del día anterior y de leer varios artículos de diversas fuentes, incluso la oficial de Microsoft, la vulnerabilidad explotada por el ransomware WanaCrypt0r (aka WanaCry) parece ser anterior, concretamente la que explotaba la herramienta EternalBlue liberada por ShadowBrokers que afectaba al protocolo SMB y que fue remediada por Microsoft el 14 de marzo (boletín MS17-010), es decir, hace ahora ya casi dos meses.
Parece mentira que un gusano (que escanea la red por el puerto 445/TCP e incluso por el backdoor DoublePulsar) pueda propagarse en tantas y grandes organizaciones comprometiendo una vulnerabilidad que podía haber sido parcheada hace tanto tiempo, pero sí amigos, estamos peor que queremos... sólo esperamos y deseamos que este caso tan mediático sirva para propagar no sólo un ransomware si no también la concienciación de la seguridad y concretamente de mantener siempre los sistemas actualizados.
 
FUENTE: hackplayers