miércoles, 7 de octubre de 2009

SMB2: Ejecutar o no ejecutar...

Hace algunas semanas pusimos un post en el que explicabamos como utilizar la metasploit para provocar una denegación de servicio en máquinas con Windows Vista / Windows Server 2008 con el servicio SMB disponible a través de la red. Sin embargo, la denegación de servicio solo era la punta del iceberg, puesto que era previsible que en poco tiempo empezarían a aparecer los primeros exploits de ejecución de código de forma remota, bien sea publicado, bien sea "on-the-wild".

En la actualidad, Immunity ha desarrollado para CANVAS (su Framework de Explotación comercial) un exploit para esta vulnerabilidad que permite la ejecución remota de código, aunque por supuesto solo está disponible para los poseedores de una licencia de este producto (que envidia!!).

Como alternativa libre, Metasploit ha publicado para su framework libre un exploit que debería permitirnos la ejecución de código a través de esta vulnerabilidad. Sin embargo, tras probarlo repetidamente, yo no he conseguido que ejecute código ni tan siquiera que provoque una denegación de servicio al intentarlo, por lo que supongo que su desarrollo aún se encuentra en un estado bastante "beta". De hecho, este post me hubiera gustado que fuera "como realizar ejecución de código a través del bug de SMB2 en Vista/2008 Server", pero que le vamos a hacer, lo dejaré para un poco más adelante ;)

Por otro lado, Piotr Bania ha publicado en su blog personal un video en el que demuestra haber desarrollado un exploit que permite la ejecució de código. Además, también publicó a través del blog de Metasploit la explicación de como desarrolló el exploit, aunque simultaneamente en su blog publicó que algunos detalles de la explotación han sido intencionadamente omitidos y que no va a publicar el exploit, aunque es previsible que con la información aportada pronto tengamos un exploit de Metasploit que utilice esta técnica para la ejecución de código.

Alguien se anima? ;)

7 comentarios :

eduardo dijo...

Hola,

Yo más de una vez he comprobado que servidores que sé son vulnerables a exploits tipo samba y demás no son explotables con metasploit ...

No me sorprende nada lo que os ha pasado, desafortunadamente. Muchas veces no funciona para windows en español ...

Saludos,
Eduardo.

Jose Selvi dijo...

Hola Eduardo, gracias por tu comentario.

Efectivamente, muchas veces los exploits no funcionan al cambiar de idioma del sistema operativo. De todas maneras Piotr Bania comenta que es otro tipo de problema que hace que solo funcione con máquinas virtuales.

Habría que mirarlo en profundidad a ver cual es el problema.

Gracias! Saludos!

Carlos R.S. dijo...

Estaria padre que hicieras un articulo profundizando mas en los PAYLOADS DE metasploit por lo regular ahi me confundo un poco no entiendo muy bien su funcionamiento o tmb la vulnerabilidad de virus como Korgo Worm Detection
e encontrado muchos equipos con ese virus y me gustaria saber una forma de usar algunas herramientas en ellos

Jose Selvi dijo...

Hola Carlos, gracias por tus sugerencias, las tenemos en cuenta para próximos posts, quizá dentro de alguna serie de posts sobre Metasploit.

En cuanto al gusano que comentas, no entiendo muy bien si te refieres a que te gustaria que explicaramos la vulnerabilidad, cómo explotarla o como detectarla. Si es esto último (lo otro habría que probarlo y dedicar algo más de tiempo): parece ser que el gusano se comunica a través de redes de IRC (6667/TCP), por lo que para detectarlo sólo tienes que activar el log en una regla en el cortafuegos que bloquee estos puertos y poco a poco irás detectando todos los equipos infectados.

Gracias por tu comentario.
Un saludo.

Carlos R.S. dijo...

Para detectarlo no tengo problema nessus 4 lo detecta bastante bien en los nodos que e alcanzo a escanear por mi conexion de cable n__n, me gustaria ver la forma de explotarlo para llegar a tomar acceso de algun equipo que este infectado por este bicho

Jose Selvi dijo...

Metasploit tiene un módulo "windows/smb/ms04_011_lsass", que es la vulnerabilidad explotada por el gusano que comentas, igual te podría servir.

No obstante, te aconsejo que no pruebes las técnicas con PCs aleatorios de Internet, es preferible hacerlo con equipos virtuales propios, así nos evitamos que nos saquen los colores.

Rafael Alfaro dijo...

¡A parchear!

http://www.microsoft.com/spain/technet/security/bulletin/ms09-oct.mspx