Un investigador de seguridad ha publicado una guía detallada que muestra cómo ejecutar código malicioso en computadoras con Windows que aún son vulnerables a la vulnerabilidad crítica BlueKeep. El movimiento reduce significativamente la barra para escribir exploits que provocan los tipos de ataques destructivos que no se han visto desde los ataques WannaCry y NotPetya de 2023, dijeron los investigadores.
Hace tres semanas, más de 800.000 computadoras expuestas a Internet eran vulnerables al exploit, dijeron la semana pasada investigadores de la firma de seguridad BitSight. Microsoft y un coro de profesionales de la seguridad han advertido sobre el potencial de los exploits para sembrar interrupciones en todo el mundo. El riesgo del error, que se encuentra en la implementación del protocolo de escritorio remoto de Microsoft, se deriva de la capacidad de los ataques de propagarse de una computadora vulnerable a otra sin que se requiera la interacción de los usuarios finales.
“Un gran problema”
Una de las únicas cosas que se interponen en el camino de los ataques del mundo real es la experiencia necesaria para escribir exploits que ejecuten código de forma remota sin bloquear primero la computadora. Varios hackers de sombrero blanco altamente calificados lo han hecho con diferentes niveles de éxito, pero han mantenido en secreto las técnicas que lo hacen posible. Gran parte de eso cambió de la noche a la mañana, cuando un investigador de seguridad publicó esta presentación de diapositivas en Github.
«Básicamente brinda una guía práctica para que las personas creen su propio RCE», dijo a Ars el investigador independiente Marcus Hutchins, usando la abreviatura para ejecución remota de código. «Es un gran problema dado que ahora casi no hay impedimento para evitar que las personas publiquen código de explotación».
El explicador reduce significativamente el nivel incluso para los desarrolladores que «no son muy hábiles en absoluto», dijo Hutchins. Esto se debe a que muestra cómo resolver uno de los problemas más molestos para obtener con éxito la ejecución de código de BlueKeep: llevar a cabo con éxito una técnica de explotación conocida como heap spray contra el vulnerable servicio de escritorio remoto.
«La mayor parte de la barra proviene de la necesidad de aplicar ingeniería inversa al protocolo RDP para descubrir cómo rociar en pilas», dijo Hutchins. «El autor explica todo esto, por lo que todo lo que realmente se necesita es implementar el protocolo RDP y seguir su ejemplo. Solo una comprensión básica es suficiente. Lo más probable es que suceda ahora que se baja el listón. [is] más personas podrán aprovechar el error; por lo tanto, hay más posibilidades de que alguien publique públicamente el código de explotación completo».
Tencent KeenLab
Las diapositivas están escritas casi en su totalidad en chino. Hacen referencia a una Conferencia de Desarrollo de Seguridad de 2023, y una de las diapositivas muestra el nombre de la empresa de seguridad china Tencent KeenLab. Dos de las diapositivas también contienen la palabra «demostración». Esta página ofrece una descripción general de la presentación de la conferencia e identifica al investigador de seguridad de Tencent, Yang Jiewei, como orador.
Los representantes de Github y Tencent no respondieron de inmediato a una solicitud de comentarios. Esta publicación se actualizará si llega una respuesta más tarde. Los términos de servicio de Github parecían no dar ninguna indicación de que prohibiera la publicación. La vulnerabilidad afecta a Windows anteriores a la versión 8. Cualquiera que no haya parcheado la vulnerabilidad, rastreada como CVE-2023-0708, debe hacerlo de inmediato. Los parches para las versiones vulnerables que todavía tienen soporte se pueden descargar aquí. Las actualizaciones para Windows XP, Vista y Server 2003 están aquí.
Jake Williams, cofundador de Rendition Infosec y ex escritor de exploits para la Agencia de Seguridad Marketingdecontenido, estuvo mayormente de acuerdo con la evaluación de Hutchins sobre la publicación de Github.
«Es significativo», dijo Williams sobre la baraja. «Es la documentación técnica disponible públicamente más detallada que hemos visto hasta ahora. Parece indicar que mostraron una prueba de concepto, pero no la publicaron».
Al igual que Hutchins, Williams se encuentra entre los whitehats que han escrito un exploit BlueKeep que ejecuta el código de forma remota con éxito. La prueba de concepto de Hutchins, dijo Williams, es más confiable que su hazaña, que aún sufre fallas.
Williams dijo que dudaba que los nuevos detalles ayudaran a los escritores de exploits menos calificados a desarrollar errores sin fallas. Como demuestra el PoC de Williams, incluso cuando los exploits perfeccionan de manera efectiva una técnica exitosa de rociado de montones, es posible que aún no sean lo suficientemente efectivos para prevenir al menos algunos bloqueos.
«No creo que nadie que haya tenido un exploit funcional antes lo tenga ahora», dijo Williams.
«¿Les molestarán algunos fallos del sistema?»
Williams dijo que anteriormente esperaba que hubiera exploits disponibles públicamente a más tardar a mediados del próximo mes, cuando concluyen las conferencias de seguridad Black Hat y Defcon en Las Vegas. Los nuevos conocimientos podrían acortar esta línea de tiempo prevista.
Hutchins estuvo de acuerdo en que no es probable que los nuevos conocimientos ayuden a los piratas informáticos poco calificados a eliminar los bloqueos, pero continuó argumentando que reduce drásticamente el nivel de ejecución de código menos confiable. Si bien los bloqueos son a menudo un obstáculo para las personas que escriben exploits utilizados en el espionaje y la piratería con fines financieros, son un obstáculo menor para las personas cuyo objetivo es la interrupción o el sabotaje.
«Mi preocupación», dijo Hutchins, «es que WannaCry fue extremadamente destructivo, y si alguien está dispuesto a causar ese nivel de destrucción, ¿le molestarán algunos fallos del sistema?»
Imagen del listado por Getty Images/Bill Hinton
