En primer lugar, este no fue un día cero (ya no).
Las hazañas utilizadas fueron reveladas en abril. Mientras que los parches aparentemente fueron lanzados en marzo (súper raro y raro).
Un exploit de día cero, es un exploit que aprovecha las ventajas de una o varias vulnerabilidades que el proveedor de software desconoce. Por lo tanto, no existen parches para esa vulnerabilidad.
Cuando se revela un día cero, ya no es un día cero.
Un exploit es un software escrito para aprovechar una vulnerabilidad con el fin de inducir un comportamiento no especificado en un programa. Por lo general, esos comportamientos van desde la pérdida de información (inyección de SQL, etc.) hasta la ejecución remota de código (inyección de SQL, corrupción de memoria, etc.).
- ¿Qué pasaría si las direcciones MAC se abolieran repentinamente?
- ¿Se ha visto afectado el negocio de Cisco por las redes definidas por software?
- ¿Cuál es la razón por la que incluso la conexión wifi abierta podría conectarse a mi teléfono?
- ¿Qué tan rentable es comenzar una compañía VPN?
- ¿Es la virtualización más rentable que comprar un montón de servidores pequeños?
RCE, abreviatura de ejecución remota de código, permite a un atacante inyectar código de su elección en el sistema vulnerable. El código inyectado es lo que llamamos una carga útil.
Un atacante podría elegir enviar código de computadora para tomar fotos del escritorio, tener control de la máquina infectada, ransomware (que es lo que sucedió aquí), etc.
Entonces, el reciente ataque de piratería en todo el mundo se debió a un malware que utilizaba vulnerabilidades de la NSA divulgadas en abril. Puede encontrarlos aquí: x0rz / EQGRP_Lost_in_Translation.
Es probable que estos exploits hayan sido modificados y re-implementados en un nuevo cuentagotas (un programa cuya función es colocar malware en un sistema).
¿Qué tienen de especial estas filtraciones de la NSA?
Primero, parece que los tenían al menos desde 2011-2013.
Estas vulnerabilidades aprovechan las vulnerabilidades en Microsoft Windows SMB, que es el protocolo que las computadoras Windows usan entre ellas cuando están conectadas en red.
Son explotables de forma remota sin interacción del usuario en absoluto. Y producen privilegios de SISTEMA (superiores a los privilegios de Administrador).
Lo que es aún más interesante es que estas vulnerabilidades son lo que llamamos wormable.
Un gusano es un malware que se propaga automáticamente.
No todas las vulnerabilidades son wormable, depende de muchos factores.
Entonces, dado todo este contexto de fondo, esto es lo que probablemente sucedió:
– Exploits de la NSA filtrados por corredores de la sombra
– Los atacantes realizaron ingeniería inversa / analizaron estas hazañas
– Los atacantes los volvieron a implementar
– Los atacantes escribieron un gusano
– Lanzaron su ataque y el gusano se propagó
Lo realmente sorprendente de su gusano es que es fácilmente reutilizable para propagar algo más …
Ahí radica el problema principal.
Más actores maliciosos probablemente usarán esto para su ventaja: s.
Para rastrear a un atacante, es casi imposible.
Solo las personas con una gran visión de la red global y las capacidades para ingerir y procesar todos esos datos probablemente puedan decir con un margen de error bajo quién es el actor. E incluso con esas capacidades, no siempre es posible ver cuántos datos se generan todos los días y la potencia informática necesaria para procesar todo esto …
La atribución es toda una investigación en la que no soy experto, pero es difícil y es un problema que nadie realmente resolvió por lo que vi.
Una última nota sobre hazañas.
Los pentesters también los necesitan para hacer su trabajo diario, ya que es la única forma comprobada de mostrar y demostrar a un cliente que son y que son completamente pirateables y necesitan parchear sus cosas.