Consiguen que tres exploits de la NSA funcionen en todas las versiones de Windows
El pasado mes de abril se filtraron por parte de Shadow Brokers nuevos exploits de la NSA. Entre ellas se encontraba EternalBlue, que posteriormente dio lugar a WannaCry en el mes de mayo. Ahora, han conseguido aprovechar tres exploits más, y reconvertirlos en ataques que funcionan en todas las versiones de Windows lanzadas en el siglo XXI.
Tres exploit de la NSA van a dar mucho que hablar próximamente
Los tres exploits utilizados son EternalChampion, EternalRomance y EternalSynergy. A diferencia de lo que hizo Wikileaks con la CIA, donde sólo filtraron documentos, ShadowBrokers filtró todos los archivos de cada herramienta. La más popular para crear malware era EternalBlue porque se podía hacer funcionar con todas las versiones recientes de Windows, mientras que las otras sólo funcionaban con las más antiguas. Hasta hoy.
Sean Dillon, un trabajador de la empresa de seguridad RiskSense, ha modificado el código fuente de estas otras tres vulnerabilidades para que puedan ejecutar código a nivel de sistema en todas las versiones de Windows posteriores a Windows 2000. Además, las ha puesto al alcance de todos los usuarios añadiéndolas a Metasploit, el proyecto open-source para hacer pruebas de penetración en sistemas inseguros.
Las vulnerabilidades funcionan tanto en sistemas de 32 como 64 bits, incluyendo las siguientes versiones de Windows, tanto las versiones para particulares y empresas como para servidores:
- Windows 2000 SP0 x86
- Windows 2000 Professional SP4 x86
- Windows 2000 Advanced Server SP4 x86
- Windows XP SP0 x86
- Windows XP SP1 x86
- Windows XP SP2 x86
- Windows XP SP3 x86
- Windows XP SP2 x64
- Windows Server 2003 SP0 x86
- Windows Server 2003 SP1 x86
- Windows Server 2003 Enterprise SP 2 x86
- Windows Server 2003 SP1 x64
- Windows Server 2003 R2 SP1 x86
- Windows Server 2003 R2 SP2 x86
- Windows Vista Home Premium x86
- Windows Vista x64
- Windows Server 2008 SP1 x86
- Windows Server 2008 x64
- Windows 7 x86
- Windows 7 Ultimate SP1 x86
- Windows 7 Enterprise SP1 x86
- Windows 7 SP0 x64
- Windows 7 SP1 x64
- Windows Server 2008 R2 x64
- Windows Server 2008 R2 SP1 x64
- Windows 8 x86
- Windows 8 x64
- Windows Server 2012 x64
- Windows 8.1 Enterprise Evaluation 9600 x86
- Windows 8.1 SP1 x86
- Windows 8.1 x64
- Windows 8.1 SP1 x64
- Windows Server 2012 R2 x86
- Windows Server 2012 R2 Standard 9600 x64
- Windows Server 2012 R2 SP1 x64
- Windows 10 Enterprise 10.10240 x86
- Windows 10 Enterprise 10.10240 x64
- Windows 10 10.10586 x86
- Windows 10 10.10586 x64
- Windows Server 2016 10.10586 x64
- Windows 10 10.0.14393 x86
- Windows 10 Enterprise Evaluation 10.14393 x64
- Windows Server 2016 Data Center 10.14393 x64
Ya se ha comprobado que las vulnerabilidades funcionan, y están al alcance de cualquiera con Metasploit
Varios investigadores de seguridad independientes han podido comprobar que las herramientas funcionan con todas estas versiones. No sería nada raro ver como empieza a dispararse el malware que aproveche estas herramientas. Las vulnerabilidades que explotan permiten a un atacante conseguir privilegios de Administrador y de SYSTEM, por lo que pueden hacer lo que quieran en nuestro ordenador.
Las vulnerabilidades, con código CVE-2017-0143 y CVE-2017-0146, se aprovechan de fallos encontramos en SMB, y fueron parcheadas por Microsoft en marzo de 2017. Por ello, os recomendamos parchear si no lo hicisteis el año pasado porque vuestro ordenador puede ser vulnerable (aún más si está conectado en red).