Los recientes ataques en estado salvaje a la vulnerabilidad crítica de Bluekeep en muchas versiones de Windows no solo afectan a las máquinas sin parches. Resulta que los exploits, que reutilizan el lanzamiento de septiembre del marco Metasploit, también están causando que muchas máquinas parcheadas se bloqueen.
A fines de la semana pasada, los usuarios de Windows supieron por qué: un parche separado que Microsoft lanzó hace 20 meses para la vulnerabilidad Meltdown en las CPU Intel. La noticia de los bloqueos surgió por primera vez hace cinco días, cuando el investigador Kevin Beaumont descubrió un exploit malicioso en Bluekeep. hizo que uno de sus honeypots se estrellara cuatro veces durante la noche. El desarrollador de Metasploit, Sean Dillon, inicialmente culpó de los accidentes a las «fuerzas reptilianas místicas que controlan todo». Luego leyó un publicación en Twitter del investigador Worawit Wang:
Desde la pila de llamadas, parece que el objetivo tiene un parche de sombra kva. El código de shell del kernel foreverblue original no se puede usar en el objetivo del parche de sombra kva. Entonces el exploit falló mientras se ejecutaba el shellcode del kernel
— Worawit Wang (@sleepya_) 4 de noviembre de 2023
En una publicación publicada el jueves, Dillon escribió:
Resulta que mis laboratorios de desarrollo de BlueKeep no tenían el parche Meltdown, pero en la naturaleza es probablemente el caso más común.
tl; dr: Los efectos secundarios del parche Meltdown interrumpen inadvertidamente las cargas útiles del kernel de enlace de llamada al sistema utilizadas en exploits como EternalBlue y BlueKeep. Aquí hay una forma horriblemente hacky de evitarlo… pero: hace estallar los shells del sistema para que pueda ejecutar Mimikatz, y después de todo, ¿no es eso de lo que se trata?
Bucle recursivo
La publicación de Dillon ofrece una explicación profunda de por qué su exploit no funcionó en máquinas que instalaron el parche Meltdown, que Microsoft llamó KVA Shadow, abreviatura de Kernel Virtual Address Shadow. En resumen, la mitigación funcionó al aislar las tablas de páginas de memoria virtual de subprocesos en modo usuario de la memoria del núcleo. La excepción es un pequeño subconjunto de código y estructuras del kernel, que debe estar lo suficientemente expuesto como para intercambiar tablas de páginas del kernel cuando se realizan excepciones de trampas, llamadas al sistema y funciones similares. El shellcode generado por el exploit Bluekeep de Dillon no formaba parte del código KVA Shadow, por lo que el modo de usuario no podía reaccionar con el código Shadow. Como resultado, el kernel quedó atascado en un bucle recursivo hasta que el sistema finalmente colapsó.
Desde entonces, Dillon ha reescrito el código de explotación. Espera que la solución se integre pronto en el módulo oficial de Metasploit Bluekeep.
Los bloqueos salieron a la luz después de que los atacantes comenzaran a explotar Bluekeep en un intento de instalar mineros de criptomonedas en máquinas sin parches. Los exploits no se propagan de una computadora a otra sin la interacción del usuario y, como se señaló, también causaron que muchas máquinas fallaran, lo que provocó que muchas personas descartaran la gravedad potencial de la vulnerabilidad Bluekeep. Los investigadores de Microsoft, sin embargo, advirtieron la semana pasada que «no pueden descartar mejoras que probablemente resulten en ataques más efectivos». También dijeron que «el exploit BlueKeep probablemente se utilizará para entregar cargas útiles más impactantes y dañinas que los mineros de monedas».
Mientras tanto, Marcus Hutchins, el investigador de seguridad que también se hace llamar MalwareTech, hizo un caso convincente que las vulnerabilidades de Bluekeep tienen el potencial de ser graves, incluso si no se propagan como un gusano de computadora a computadora sin la interacción del usuario, como lo hicieron los brotes de WannaCry y NotPetya.
Pivote interno
WannaCry y NotPetya explotaron el protocolo de bloqueo de mensajes del servidor, que estaba habilitado en muchas computadoras de escritorio. Bluekeep, por el contrario, explota los servicios de escritorio remoto de Windows, que generalmente se activan solo en los servidores.
“Un gusano no solo atraería mucha atención, sino que sería un desafío técnico debido a las limitaciones de BlueKeep”, Hutchins escribió. Eso no significa que Bluekeep no tenga el potencial de causar un daño significativo. Debido a que los servidores normalmente actúan como administradores de dominio, herramientas de administración de red o comparten las mismas credenciales de administrador local con otras máquinas de la red, tienen la capacidad de controlar gran parte de la red.
«Al comprometer un servidor de red, casi siempre es extremadamente fácil usar herramientas automatizadas para pivotar internamente (por ejemplo, hacer que el servidor suelte ransomware en todos los sistemas de la red)», Hutchins explicado.
Bluekeep afecta a Windows 7, Windows Server 2008 R2 y Windows Server 2008. Los parches para esas versiones están disponibles aquí. Debido a su gravedad, Microsoft ha puesto a disposición parches para Windows XP, Vista y Server 2003, que ya no son compatibles. Las personas u organizaciones que aún tienen que parchear deben hacerlo lo antes posible.
