Los piratas informáticos de White Hat trasladan el exploit Wannacry a Windows 10. ¿Gracias, supongo?

Había dos sistemas operativos Windows en gran medida inmunes al reciente ataque cibernético de Wannacry. El primero, Windows XP, se salvó en gran medida debido a un error en el código de Wannacry, y el segundo, Windows 10, tenía defensas más avanzadas que Windows 7 y, por lo tanto, no podía infectarse.

Enter stage dejó a los White Hat Hackers de RiskSense, quienes hicieron el trabajo necesario para portar el exploit EternalBlue, el hack creado por la NSA en la raíz de Wannacry, a Windows 10, y crearon un módulo Metasploit basado en el hack.

Su módulo refinado presenta varias mejoras, con tráfico de red reducido y la eliminación de la puerta trasera DoublePulsar, que sintieron que distraía innecesariamente a los investigadores de seguridad.

“La puerta trasera de DoublePulsar es una especie de pista falsa para que los investigadores y los defensores se concentren”, dijo el analista de investigación sénior Sean Dillon. “Lo demostramos al crear una nueva carga útil que puede cargar malware directamente sin tener que instalar primero la puerta trasera DoublePulsar. Por lo tanto, las personas que buscan defenderse de estos ataques en el futuro no deben centrarse únicamente en DoublePulsar. Concéntrese en qué partes del exploit podemos detectar y bloquear”.

Publicaron los resultados de su investigación, pero dijeron que dificultaron que los piratas informáticos de Black Hat siguieran sus pasos.

“Omitimos ciertos detalles de la cadena de explotación que solo serían útiles para los atacantes y no tanto para construir defensas”, señaló Dillon. “La investigación es para la industria de seguridad de la información de sombrero blanco con el fin de aumentar la comprensión y la conciencia de estos exploits para que se puedan desarrollar nuevas técnicas que prevengan este y futuros ataques. Esto ayuda a los defensores a comprender mejor la cadena de explotación para que puedan construir defensas para la explotación en lugar de la carga útil”.

Para infectar Windows 10, los piratas informáticos tuvieron que omitir la Prevención de ejecución de datos (DEP) y la Aleatorización del diseño del espacio de direcciones (ASLR) en Windows 10 e instalar una nueva carga útil de Llamada de procedimiento asíncrono (APC) que permite que las cargas útiles en modo usuario se ejecuten sin la puerta trasera.

Sin embargo, los piratas informáticos estaban llenos de admiración por los piratas informáticos originales de la NSA que crearon EternalBlue.

“Definitivamente abrieron nuevos caminos con el exploit. Cuando agregamos los objetivos del exploit original a Metasploit, era necesario agregar una gran cantidad de código a Metasploit para que estuviera a la altura de poder admitir un exploit de kernel remoto que apunta a x64”, dijo Dillon, y agregó que el exploit original también apunta a x86, llamando a esa hazaña "casi milagrosa".

“Estás hablando de un ataque heap-spray en el kernel de Windows. Los ataques de heap spray son probablemente uno de los tipos de explotación más esotéricos y esto es para Windows, que no tiene código fuente disponible”, dijo Dillon. “Realizar un heap spray similar en Linux es difícil, pero más fácil que esto. Se trabajó mucho en esto”.

La buena noticia es que Windows 10 completamente parcheado, con MS17-010 instalado, todavía está completamente protegido, con el hack dirigido a Windows 10 x64 versión 1511, que se lanzó en noviembre de 2015 y recibió el nombre en código de Threshold 2. Sin embargo, señalan que este La versión actual del sistema operativo aún es compatible con Windows Current Branch for Business.

La noticia de hoy subraya la sofisticación de los ataques que están realizando las agencias gubernamentales a Windows, y una vez más la importancia de mantenerse actualizado para mitigar al máximo el riesgo.

El informe completo de RiskSense que detalla el nuevo hack se puede leer aquí (PDF.)