El investigador de seguridad tailandés Worawit Wang ha elaborado un exploit basado en ETERNALSYNERGY que también puede orientarse a versiones más recientes del sistema operativo Windows.
ETERNALSYNERGY es una de los exploits creados por la NSA y filtrados por el grupo de hackers Shadow Brokers en abril de este año. Según un análisis técnico de Microsoft, publicado el jueves pasado, este nuevo exploit puede permitir a un atacante remoto ejecutar código arbitrario en máquinas Windows con servicios SMB expuestos a conexiones externas.
El exploit original funciona hasta Windows 8. Según Microsoft, las técnicas utilizadas en la explotación original de ETERNALSYNERGY no funcionan en plataformas más recientes debido a varias mejoras de seguridad del kernel.
Sin embargo, ETERNALSYNERGY aprovecha una vulnerabilidad conocida en la versión 1 del protocolo de intercambio de archivos SMB. Esta vulnerabilidad está registra como la CVE-2017-0143.
Wang dice que su exploit aprovecha la misma vulnerabilidad, pero utiliza una técnica de explotación diferente. Su método “nunca debe fallar un objetivo”, dice el experto. “El azar debería ser de casi el 0%”, añade Wang.
Durante el brote del ransomware de WannaCry, la explotación de ETERNALBLUE infectó principalmente las máquinas de Windows 7 pero falló en las computadoras de XP. Un exploit confiable es tan importante como exploits que funcionan en versiones de múltiples sistemas operativos.
Además, Wang creó su exploit para atacar a nuevas versiones del sistema operativo Windows. Según pruebas realizadas, se pudo confirmar que el exploit funciona exitosamente en:
- Windows 2016 x64
- Windows 2012 R2 x64
- Windows 8.1 x64
- Windows 2008 R2 SP1 x64
- Windows 7 SP1 x64
- Windows 8.1 x86
- Windows 7 SP1 x86
Estas son todas las versiones compatibles del sistema operativo Windows, excepto Windows 10. Es decir este exploit puede potencialmente afectar al 75% de las computadoras que corren Windows.
Con este nuevo exploit ahora son tres los exploits para la vulnerabilidad CVE-2017-0143: ETERNALSYNERGY, ETERNALROMANCE, y el exploit de Wang. Además un atacante podría combinar estos tres exploits para atacar a casi todas las versiones de Windows desde XP hasta Windows Server 2016, excepto Windows 10. Eso es aproximadamente el 75% de todas las computadoras que corren el sistema operativo Windows hoy en día.
La publicación del exploit de Wang es una señal más de alarma para que los usuarios del sistema operativo Windows actualicen sus sistemas lo antes posible con el parche MS17-010 antes de que alguien convirta este nuevo exploit en un malware que aproveche la vulnerabilidad de SMB para lanzar nuevos ataques similares a las epidemias de ransomware que hemos tenido en los últimos días.
El código de exploit está disponible para su descarga desde la cuenta de Wang en GitHub o ExploitDB. La investigadora de seguridad, Sheila A. Berta, de la unidad de seguridad de Telefónica Eleven Paths, ha publicado una guía paso a paso sobre cómo usar el exploit de Wang.
En junio, unos investigadores de seguridad de la empresa RiskSense, extendieron el exploit ETERNALBLUE para que pueda ser usado para atacar a Windows 10 y es muy probable que otros exploits creados por la NSA se puedan actualizar para atacar a versiones más recientes del sistema operativo Windows.
ETERNALBLUE, ETERNALROMANCE también se usaron en el componente de gusano que facilitó el brote del ransomware NotPetya.