domingo, 18 de marzo de 2018

Jugando con Metasploit y EternalBlue

En 2017 el grupo conocido como the Shadow Brokers expuso una de las filtraciones de seguridad más conocidas y dañinas hasta la fecha. Entre sus filtraciones se incluia un exploit zero-day de Microsoft Winows que se denominó ETERNALBLUE.330. Este fallo de seguridad en el servicio  SMB en los sistemas operativos desde Windows XP a Windows 2012, fue corregido por Microsoft en Marzo de 2017, pero no todos los usuarios del sistema operativo estaban actualizados cuando en abril de ese mismo año se produjo un ataque masivo del ransonware Wannacry que infectó aproximadamente a un cuarto de millón de equipos.

El post de hoy lo retomo de una serie de pruebas de concepto que realicé hace unos meses simulando un ataque que explotaba esta vulnerabilidad en un equipo conectado a un punto de acceso que hacia las veces de WAP e IDS (hablaré más sobre este tema en otro post).

El sistema victima, con IP 10.42.0.208 y sistema operativo Microsoft Windows 7 Professional SP1 (sin actualizaciones) estará conectado por WiFi a nuestro hotpot por su interfaz wlan0 (con ip 10.42.0.1) que analizará todo el tráfico entrante y saliente de nuestra intranet.

Por otro lado, nuestro punto de acceso se conectará a internet a través de un router ADSL/Fibra por su interfaz eth0 (con ip 192.168.1.144).

Partiremos de la premisa de que el equipo atacante ha conseguido conexión al mismo router ADSL que nuestro hotpot, por ejemplo, por cable ethernet o crackeando la WiFi original del router, obteniendo la IP 192.168.1.10. Tras un análisis previo determinó que existe una red 10.42.0.0/24 y que hay equipos conectados, entre los que encontramos a nuestra víctima, por lo que ya estaría en predisposición de realizar el ataque.



Desde el atacante, con una red distinta a la de la víctima, lo primero que debería hacer es establecer un enrutado a la subred 10.42.0.0 a través de la que es su puerta de enlace, 192.168.1.144 con el comando:


ip route add 10.42.0.0/24 via 192.168.1.144


Screenshot from 2017-08-25 20-56-27.png


Con Metasploit, haciendo uso de un scanner de la vulnerabilidad eternalblue (auxiliary/scanner/smb/smb_ms17_010) determinará que victima es vulnerable al ataque.

Screenshot from 2017-08-25 20-51-09.png

A continuación, para explotar la vulnerabilidad, el atacante utilizará el exploit exploit/windows/smb/ms17_010_eternalblue desde MSFCONSOLE. Rellenará los datos necesarios para su ejecución:


Screenshot from 2017-08-25 20-48-56.png

Y se ejecutará:


Screenshot from 2017-08-25 20-49-00.png

Y tras esto, tendremos control sobre la victima. ¿Detectó algo nuestro IDS Snort? Ante la realización del exploit, vemos como el IDS si ha detectado tráfico potencialmente peligroso y ha lanzado una alerta informando que se está explotando la vulnerabilidad ETERNALBLUE.