Un investigador de seguridad ha informado de tres exploits de la NSA filtrados que funcionan en todas las versiones de Windows lanzadas en los últimos 18 años. Esto significa que afecta desde Windows 2000 hasta las más recientes versiones. Los tres exploits son EternalChampion, EternalRomance y EternalSynergy. Todos ellos se filtraron en abril del año pasado por un grupo de piratas informáticos conocido como The Shadow Brokers, que afirmaron haber robado el código de la NSA.
Tres exploits de la NSA
En la revelación de Shadow Brokers de abril de 2017 se lanzaron varios exploits y herramientas de pirateo. El más famoso fue EternalBlue, el exploit utilizado en los brotes de ransomware WannaCry, NotPetya y Bad Rabbit.
EternalBlue se convirtió en una herramienta favorita entre los autores de malware. La revelación de Shadow Brokers también contenía muchos exploits menos conocidos. La razón por la que muchos de estos no se popularizaron fue que solo funcionaban en un número pequeño de versiones de Windows y no admitían las distribuciones recientes del sistema operativo de Microsoft.
Ahora, Sean Dillon (@zerosum0x0), investigador de seguridad de RiskSense, ha modificado el código fuente de algunos de estos exploits menos conocidos para que puedan trabajar y ejecutar el código del sistema en una amplia variedad de versiones del sistema operativo Windows.
El investigador ha fusionado recientemente estas versiones modificadas de EternalChampion, EternalRomance y EternalSynergy en Metasploit Framework, un proyecto de prueba de penetración de código abierto.
Vulnerabilidades
Dillon ha diseñado sus exploits modificados para aprovechar las siguientes vulnerabilidades:
- Crear conflicto entre WriteAndX y las solicitudes de transacción. Esta vulnerabilidad se conoce como CVE-2017-0143. Es explotada por EternalRomance y EternalSynergy.
- Otra vulnerabilidad es explotada por EternalChampion y, nuevamente, por EternalSynergy. Es conocida como CVE-2017-0146.
Todos los sistemas de Microsoft, desde Windows 2000
Dillon añade que sus exploits funcionan tanto en 32 como en 64 bits. También ha enumerado todas las versiones de Windows afectadas. Como hemos indicado, desde Windows 2000 afecta a todas las ediciones. Esto incluye a las diferentes versiones de Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8, Windows 8.1, Windows Server 2012 y, la más reciente, Windows 10.
Varios investigadores de seguridad independientes han confirmado que el código de explotación de Dillon funciona en todas estas versiones del sistema operativo de Microsoft.
Parte del código de Dillon utiliza un puerto anterior del exploit EternalSynergy creado por el investigador de seguridad Worawit Wang.