¿Cuál ha sido la vulnerabilidad que ha explotado el ransomware que ha puesto en jaque a Telefónica y a otras grandes compañías?

Bueno, ya sabéis que ahora está en primera plana la infección por ransomware en Telefónica y en otras grandes empresas, incluso fuera de España, que ha hecho que todos los medios se agiten, ya que han surgido numerosos mensajes en las redes sociales con imágenes del ransom y correos de distintos departamentos rogando a los usuarios que apaguen inmediatamente sus equipos (incluso audios). Nosotros no vamos a entrar en qué compañías se han visto afectadas y cuáles no, pero si nos parece tremendamente curioso saber cuál ha sido la vulnerabilidad que ha explotado el ransomware y ha hecho que haya puesto a tantas empresas en jaque en un periodo tan corto de tiempo.

Lamentablemente o afortunadamente, no he tenido ningún caso todavía que haya podido analizar directamente, por lo que me sustento en suposiciones basadas en lo que he leído en las redes y lo que me han contado varios compañeros y colegas, y casi todas apuntaban a un RCE en MsMpEng, el conocido "crazy bad".

MsMpEng es el servicio de Protección contra Malware que está habilitado por defecto en Windows 8, 8.1, 10, Windows Server 2012 y posteriores. Además, Microsoft Security Essentials, System Center Endpoint Protection y otros productos de seguridad de Microsoft comparten el mismo core. MsMpEng se ejecuta como NT AUTHORITY\SYSTEM sin sandboxing y es accesible remotamente sin autenticación a través de varios servicios de Windows, incluidos Exchange, IIS, etc.

MsMpEng utiliza un minifiltro para interceptar e inspeccionar toda la actividad del sistema de archivos del sistema, por lo que basta con escribir cualquier contenido en cualquier lugar del disco (por ejemplo, caché, archivos temporales de Internet, descargas (incluso descargas no completadas),etc para acceder a la funcionalidad en mpengine, su componente principal responsable de la exploración y el análisis.

Es decir, un atacante puede acceder a la funcionalidad de mpengine simplemente enviando un mensaje de correo electrónico a la víctima (sin que sea necesario incluso abrirlo), visitando enlaces en un navegador web, por mensajería instantánea, etc. Mpengine es una superficie de ataque extensa y compleja, compuesta por manejadores de docenas de formatos de archivo, packers y crypters de ejecutable, emuladores de sistemas completos e intérpretes para varias arquitecturas y lenguajes etc. Como decimos, accesible por atacantes remotos porque se trata del motor antimalware que analiza cualquier actividad en el filesystem...

¿Qué pasaría entonces si de forma remota pudiera explotarse un vulnerabilidad en MsMpEng? Pues que accederíamos a la máquina de la víctima de forma remota con privilegios de SYSTEM... y sí... la vulnerabilidad existe.

Es lo que se ha denominado como "crazy bad" y corresponde a la vulnerabilidad con CVE CVE-2017-0290. Los señores de Microsoft la han considerado tan crítica que hace un par de días publicaron un parche de emergencia en el Microsoft Security Advisory 4022344. No es para menos, tenemos por tanto una vulnerabilidad crítica que afecta a casi todas las versiones de Windows (creo que XP se salva lol!), cuyo parche ha sido publicado de recientemente y fuera de ciclo por lo que muchas empresas todavía no han parcheado los sistemas, y menos un viernes víspera de fin de semana y para algunos puente.

Por otro lado, el vector de infección parece ser una campaña de spam en el que se envían mensajes con el adjunto factura.js en un zip. ¿Por qué Javascript? Pues porque Windows utiliza NScript, un componente del susodicho mpengine, que se encarga de evaluar el código javascript cuando se detecta cualquier actividad en el filesystem con código en este lenguaje. De hecho probablemente no hubiese hecho falta ni ponerle la extensión .js porque MsMpEng utiliza su propio sistema de identificación de contenido y los tipos MIME y las extensiones de archivo no son relevantes para esta vulnerabilidad. Recordemos que si se compromete MsMpEng es posible ejecutar cualquier malware en un entorno "unsandboxed" y con máximos privilegios...

Parecía lógico pensar que un malware, en este caso la versión 2.0 del ransomware WanaCrypt0r, que ha afectado a tantas y grandes empresas hubiera podido utilizar esa vulnerabilidad. Pero no...

Actualización 13/05/2017

Después de la resaca del día anterior y de leer varios artículos de diversas fuentes, incluso la oficial de Microsoft, la vulnerabilidad explotada por el ransomware WanaCrypt0r (aka WanaCry) parece ser anterior, concretamente la que explotaba la herramienta EternalBlue liberada por ShadowBrokers que afectaba al protocolo SMB y que fue remediada por Microsoft el 14 de marzo (boletín MS17-010), es decir, hace ahora ya casi dos meses.

Parece mentira que un gusano (que escanea la red por el puerto 445/TCP e incluso por el backdoor DoublePulsar) pueda propagarse en tantas y grandes organizaciones comprometiendo una vulnerabilidad que podía haber sido parcheada hace tanto tiempo, pero sí amigos, estamos peor que queremos... sólo esperamos y deseamos que este caso tan mediático sirva para propagar no sólo un ransomware si no también la concienciación de la seguridad y concretamente de mantener siempre los sistemas actualizados.

Fuentes:
- Hackean la red interna de Telefónica y de otras grandes empresas españolas
- Ataque masivo de ransomware que afecta a un elevado número de organizaciones españolas
- MsMpEng: Remotely Exploitable Type Confusion in Windows 8, 8.1, 10, Windows Server, SCEP, Microsoft Security Essentials, and more.
- Análisis Payload Security
- Wanna Decryptor: así funciona el ransomware que se ha usado en el ciberataque a Telefónica
- Microsoft Ransom: Win32/WannaCrypt
- El ataque del ransomware #WannaCry - El lado del mal
- 74 countries hit by NSA-powered WannaCrypt ransomware backdoor
- Player 3 Has Entered the Game: Say Hello to 'WannaCry' 

14 comentarios :

  1. Me pregunto que pensara Chema sobre esto XD..

    ResponderEliminar
  2. Mas info:
    https://foro.hackhispano.com/threads/45193-Ataque-masivo-de-ransomware-que-afecta-a-un-elevado-n%C3%BAmero-de-organizaciones-espa%C3%B1olas-(-Telef%C3%B3nica)
    Y el parche de SMB:
    https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

    ResponderEliminar
  3. Pues lo que dicen la mayoría de los medios especializados es que fue la vulnerabilidad de SMB que se publicó en Marzo

    ResponderEliminar
    Respuestas
    1. Estoy leyendo eso sí, esperemos un análisis técnico para confirmar...

      Eliminar
  4. ¿Y dónde esta chema? ¿Acaso no es el superciso de seguridad en telefonica?

    ResponderEliminar
  5. Chema es Chief Data Officer (CDO), el CISO es Alejandro Ramos. En cualquier caso considero que en estos casos no es sano señalar a nadie en particular, hay que ser contructivos y aprender de los errores pero a nivel de organización.

    ResponderEliminar
  6. Y tanto que Chema defiende a Windows ... coño ... que palo !

    ResponderEliminar
  7. MS17-010 parece ser a vulnerabilidad explotada por WannaCrypt, pero no tardaran en explotar la que comentas antes o despues, si.

    ResponderEliminar
    Respuestas
    1. Cierto, ya he actualizado la entrada. En principio creía que Wanacry podría haber explotado una vulnerabilidad muy reciente y ser la principal causa por la que hubiera conseguido entrar en tantas organizaciones.. pero no.. la principal causa es que incluso empresas especializadas del sector mantienen sus equipos desactualizados. Decepcionante pero a la vez positivo porque esto demuestra que todavía queda mucho, mucho trabajo por hacer...

      Eliminar
    2. Hos*****ta. Si Telefónica no protege sus equipos frente a EternalBlue es que lo estaban pidiendo a gritos.
      El exploit está en manos de cualquiera. No actualizarse fue un cagadón enorme. De esos cagadones que le pueden costar el empleo a un admin...

      Eliminar
  8. Microsoft lanzo el parche para los sistemas sin soporte:

    https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

    http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

    ResponderEliminar
  9. Pero cúal es la via de entrada a los sistemas? el email parece que no ha sido. Solo entra si se tiene abierto el puerto 445 a Internet? Para qué abrir smb a Internet?

    ResponderEliminar
    Respuestas
    1. Me parece que mediante phishing masivo alguien descargó y abrió el ejecutable que luego se fue propagando por la red local.
      Sin duda me parece mucho más elaborado el Adylkuzz, que se propaga de la misma forma y se dedica a minar Moneros (Una especie de Bitcoin) para el monedero del autor del ataque. Fino fino.

      Eliminar