Samba una puerta abierta a los sistemas linux para ataques remotos.

Samba es una implementación libre del protocolo de archivos compartidos de Microsoft Windows.

Ahora bien últimamente solo se ha hablado de las recientes metidas de patas de Microsoft, con las vulnerabilidades que no dejan de salir a la luz de las pantallas de los Ciber-delincuentes, ahora es turno de sistemas Unix y Linux con Samba.

Pero en este caso tenemos el software open-source Samba (Re-implementación del protocolo de red SMB) que corre en la mayoría de los sistemas operativos como Windows, Linux, UNIX, IBM System 390 y OpenVMS.

Una vulnerabilidad critica que tiene 7 años de antigüedad, que permite al atacante tomar control de los sistemas linux y Unix de forma remota.

La vulnerabilidad de ejecución remota de código recién descubierto ( CVE-2.017-7.494 ) afecta a todas las versiones más recientes que Samba 3.5.0 que fue lanzado el 1 de marzo de 2010.

“Todas las versiones de Samba desde 3.5.0 en adelante son vulnerables a una vulnerabilidad de ejecución remota de código, permitiendo que un cliente malicioso para cargar una biblioteca compartida en un recurso compartido de escritura, y luego hacer que el servidor para cargar y ejecutar él,” Samba escribió en un asesor publicado el miércoles.

Según Shodan tendríamos un posible EternaBlue para Linux y Unix?.

De acuerdo con el motor de búsqueda de equipo Shodan, más de 485.000 ordenadores habilitados para Samba expuestos puerto 445 a través de Internet.

Y de acuerdo con los investigadores de Rapid7 , más de 104.000 endpoint expuestas a Internet parecían estar corriendo versiones vulnerables de Samba, de los cuales 92.000 están corriendo versiones no soportadas de Samba.

Ya que Samba es el protocolo SMB implementado en los sistemas Linux y UNIX, por lo que algunos expertos están diciendo que es “versión para Linux de EternalBlue ,” utilizado por el ransomware WannaCry.

Teniendo en cuenta el número de sistemas vulnerables y facilidad de explotar esta vulnerabilidad, podría ser explotado en gran escala con capacidades wormable.
Las redes domésticas con almacenamiento conectado en red (NAS) también podrían ser vulnerables a esta falla.

El código de explotación de lanzamiento! (Bonus: Metasploit Module)

Metasploit-samba

La falla en realidad residía en la forma de Samba maneja bibliotecas compartidas.

Un atacante remoto podría utilizar este módulo arbitrario de la vulnerabilidad Samba para cargar una biblioteca compartida a una parte grabable y luego hacer que el servidor cargue y ejecute el código malicioso.

La vulnerabilidad es super fácil de explotar. Sólo se requiere una línea de código para ejecutar código malicioso en el sistema afectado.

simple.create_pipe ( “/ ruta / a / target.so”)

Sin embargo, el exploit de Samba ya ha sido cargado a Metasploit , un marco de pruebas de penetración, permitiendo a los investigadores, así como los hackers para aprovecharse de este problema fácilmente.

Parche y mitigaciones

Los mantenedores de Samba tiene ya parcheado el tema en sus nuevas versiones y versiones de Samba 4.6.4 / 4.5.10 / 4.4.14 , y están instando a los que utilizan una versión vulnerable de la samba para instalar el parche tan pronto como sea posible.

Pero si no se puede actualizar a las últimas versiones de Samba de inmediato, se puede trabajar en torno a la vulnerabilidad al agregar la siguiente línea al archivo de configuración smb.conf Samba:

nt pipe support = no

Una vez añadido, reinicie el demonio SMB de la red (smbd) y ya está.

Este cambio va a evitar que los clientes accedan plenamente algunas máquinas de la red, así como desactivar algunas funciones que se esperan para los sistemas Windows conectados.

Mientras que los vendedores de distribución de Linux, incluyendo Red Hat y Ubuntu, ya se han publicado versiones parcheadas para sus usuarios.

El riesgo más grande es que parte de los consumidores de dispositivos NAS que podrían no estar actualizada la misma rapidez.

Craig Williams de Cisco, dijo que, dado el hecho de que la mayoría de los dispositivos NAS ejecutan Samba y tienen datos muy valiosos, la vulnerabilidad “tiene potencial para ser el primero a gran escala gusano ransomware para Linux”.

Actualizar:  mantenedores de Samba también han proporcionado los parches para las versiones anteriores y no soportadas de Samba.

Mientras tanto, Netgear publicó un aviso de seguridad de CVE-2.017 hasta 7494, diciendo que un gran número de sus routers y modelos de productos NAS se ven afectados por la falla debido a que utilizan Samba versión 3.5.0 o posterior.

Sin embargo, la compañía actualmente en libertad correcciones de firmware sólo para productos ReadyNAS ejecutan OS 6.x.

Fuente:http://thehackernews.com/

#HackNic – Shadow77

EsteemAudit un exploit que apunta a RDP

EsteemAudit es una herramienta desarrollada por NSA y también filtrada por Shadow Brokers.

EsteemAudit apunta al servicio RDP (puerto 3389) en máquinas con Microsoft Windows Server 2003 y Windows XP. En este momento Shodan muestra alrededor 24.000 equipos con sistemas operativos abiertos.

Microsoft publicó los parches para las vulnerabilidades de SMB de WannaCry, pero la compañía aún no lanzó los parches para las otras tres herramientas de hacking publicadas por NSA, denominadas “EnglishmanDentist”, “EsteemAudit” y “ExplodingCan”.

Dado que Microsoft ya no soporta Windows Server 2003 y Windows XP, a diferencia de EternalBlue la compañía no ha lanzado ningún parche de emergencia para EsteemAudit hasta ahora.

EsteemAudit también puede usarse como crear un gusano, similar a WannaCry, y permite a los atacantes propagarlo en las redes empresariales, dejando miles de sistemas vulnerables al ransomware, al espionaje y a otros ataques maliciosos.

Los autores de Ransomware como CrySiS, Dharma y SamSam, que ya están infectando computadoras a través del protocolo RDP usando ataques de fuerza bruta, pueden aprovechar EsteemAudit en cualquier momento para ataques generalizados y tan dañinos como WannaCry.

“Actualmente, los sistemas basados ​​en Windows XP representan más del 7 por ciento de los sistemas operativos de escritorio que todavía están en uso y se calcula que hay más de 600.000 computadoras que alojan más de 175 millones de sitios web sobre Windows Server 2003, representando aproximadamente el 18 por ciento de la cuota de mercado global”, dicen los investigadores.

De las tres explotaciones restantes, “EnglishmanDentist”, “EsteemAudit” y “ExplodingCan”, ninguna se reproduce en plataformas que ejecutan Windows 7 o superior.
Dado que Microsoft no ha publicado ningún parche para esta vulnerabilidad, se recomienda a los administradores actualizar sus sistemas a versiones superiores para protegerse de los ataques de EsteenAudit. Si es difícil actualizar, sería bueno proteger el puerto RDP, ya sea deshabilitándolo o colocándolo detrás de un firewall.

Mientras tanto, enSilo ha lanzado un parche para ayudar a los usuarios de Windows XP y Server 2003 a proteger sus máquinas contra EsteemAudit. Puede aplicar el parche para proteger sus sistemas, pero tenga en cuenta que no es un parche oficial de Microsoft.

Fuente: TheHackerNews.com

#HackNic – Shadow77

EternalRocks 7 razones por la que es más peligroso que WannaCry!!!!!

Se ha detectado un nuevo gusano, EternalRocks que se está propagando a través de SMB.

Pero a diferencia del ransomware WannaCry el gusano EternalRocks, está utilizando siete herramientas de la NSA, en lugar de dos.

El gusano apareció el miércoles, después de infectar una honeypot SMB de Miroslav Stampar, miembro del CERT croata y co-creador de la herramienta SQLmap utilizada para detectar y explotar SQL Injection.

EternalRocks utiliza siete herramientas NSA

El gusano, que Stampar denominó EternalRocks (o MicroBotMassiveNet) basado en las propiedades del gusano WannaCry, infecta al usuario mediante el uso de seis herramientas de la NSA centradas en SMB expuestos en línea:

  1. EternalBlue — SMBv1 exploit tool
  2. EternalRomance — SMBv1 exploit tool
  3. EternalChampion — SMBv2 exploit tool
  4. EternalSynergy — SMBv3 exploit tool
  5. SMBTouch — SMB reconnaissance tool
  6. ArchTouch — SMB reconnaissance tool
  7. DoublePulsar — Backdoor Trojan

ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE y ETERNALSYNERGY, que son exploits SMB utilizados para comprometer las computadoras vulnerables, mientras que SMBTOUCH y ARCHITOUCH son dos herramientas utilizadas para realizar reconocimiento de SMB expuestos.

Una vez que el gusano ha obtenido este punto de apoyo inicial, utiliza la otra herramienta de la NSA: DOUBLEPULSAR, para propagarse a nuevas máquinas vulnerables.

El brote del ransomware de WannaCry, que afectó a más de 240.000 víctimas, también usó un gusano SMB para infectar computadoras y propagarse a nuevas víctimas.

WannaCry utilizó sólo ETERNALBLUE para el compromiso inicial y DOUBLEPULSAR para propagarse a las nuevas máquinas.

Como gusano, EternalRocks es menos peligroso que WannaCry, ya que actualmente no instala ningún contenido malicioso. Sin embargo, esto no significa que EternalRocks sea menos complejo.

Una vez que infecta a una víctima, EternalRocks usa un proceso de instalación en dos etapas, con una segunda etapa retrasada.

Durante la primera etapa, EternalRocks obtiene un pivot en el host infectado, descarga el cliente de Tor y llama a su servidor C&C, ubicado en un dominio .onion.

Sólo después de un período predefinido de tiempo (actualmente 24 horas) el servidor C&C responde. El papel de este retraso es para evitar los entornos de pruebas de seguridad de sandbox y evitar que los investigadores analicen el gusano, ya que muy pocos esperarán un día completo.

Además, EternalRocks también usa archivos con nombres idénticos a los utilizados por el gusano SMB de WannaCry, en otro intento de engañar a los investigadores de seguridad para clasificarlos erróneamente. Pero a diferencia de WannaCry, EternalRocks no incluye un dominio KillSwitch.

Después del período inicial de latencia, EternalRocks entra en la segunda etapa de su proceso de instalación y descarga un componente de malware, denominado shadowbrokers.zip. El nombre de este archivo es bastante autoexplicativo, ya que contiene algunos códigos filtrado por el grupo Shadow Brokers en abril de 2017.

El gusano inicia entonces un proceso rápido de escaneo de IP e intenta conectarse a direcciones IP aleatorias.

A primera vista, el gusano parece ser un experimento y debido a su arsenal más amplio de la explotación, a la carencia de un dominio interruptor y debido a su latencia inicial.

EternalRocks podría plantear una amenaza seria si su autor decidiera usarlo como arma (“weaponize”), transformarlo en un ransomware, un troyano bancario, RATs, o cualquier otra cosa.

Sin embargo, esto no significa que EternalRocks sea inofensivo. Las computadoras infectadas con este gusano son controlables a través del C&C y el propietario del gusano podría aprovechar este canal de comunicaciones ocultas para enviar nuevos programas maliciosos a los equipos previamente infectados.

Además, DOUBLEPULSAR, eñ implante NSA con características de puerta trasera, sigue funcionando en las PC infectadas con EternalRocks. El proceso de infección del gusano están disponibles en GitHub.

Parchea!

Los administradores deben parchear con MS17-10 sus equipos vulnerables y/o deshabilitar el antiguo protocolo SMBv1, reduciendo lentamente el número de máquinas vulnerables que EternalRocks puede infectar.

Fuente: https://www.bleepingcomputer.com

#HackNic – Shadow77