Metasploit lanzó un módulo de explotación para la vulnerabilidad crítica de los escritorios Remotos de Windows Bluekeep (CVE-2019-0708). El módulo en cuestión se dirige a versiones de Windows 7 de 64 bits y a la versión de Windows 2008 R2 server.
El módulo está basado en la prueba de concepto que lanzó Zerosum0x0, el mismo que lanzo los módulos de escaner y explotación para la vulnerabilidad de EternalBlue. El exploit de Metasploit hace uso de una biblioteca mejorada de protocolo RDP de propósito general , así como capacidades mejoradas de huellas dactilares RDP , que beneficiarán a los usuarios y contribuyentes de Metasploit mucho más allá del contexto del escaneo y explotación de BlueKeep.
BlueKeep via SMBLoris + IP Frags 😆 https://t.co/PgblGfBIC2— zǝɹosum0x0🦉 (@zerosum0x0) 6 de septiembre de 2019
De forma predeterminada, el exploit BlueKeep de Metasploit solo identifica la versión del sistema operativo objetivo y si es probable que el objetivo sea vulnerable. El exploit no admite actualmente la orientación automática; requiere que el usuario especifique manualmente los detalles del objetivo antes de intentar una mayor explotación. Si el módulo se interrumpe durante la explotación, o si se especifica el objetivo incorrecto, el objetivo se bloqueará con una pantalla azul . Los usuarios también deben tener en cuenta que algunos elementos del exploit requieren conocer cómo se presenta la memoria del kernel de Windows, que varía según la versión del sistema operativo y la plataforma host subyacente (virtual o física); el usuario actualmente necesita especificar esto correctamente para ejecutar el exploit con éxito. Las versiones de servidor de Windows también requieren una configuración no predeterminada para una explotación exitosa, es decir, cambiar una configuración de registro para permitir el uso compartido de audio. Esta limitación puede eliminarse en el futuro.
Los Ingenieros de Seguridad defensores pueden querer notar que la explotación de BlueKeep es similar a un escáner de vulnerabilidades de BlueKeep a nivel de red. Si su IDS / IPS de red ya puede detectar la secuencia del escáner, es casi seguro que también detecta la vulnerabilidad. Para los usuarios de IDS / IPS basados en host, el shellcode del kernel carga un proceso secundario en el proceso spoolsv.exe Windows de spoolsv.exe predeterminada, que es un indicador similar de compromiso con exploits como EternalBlue (MS17-010).
Dicho todo esto, hay una advertencia importante para las herramientas de detección de carga útil de Metasploit, como las que alertan sobre cargas genéricas meterpreter en el tráfico de red: si un sistema de prevención de intrusiones interrumpe la explotación de BlueKeep en curso simplemente porque detecta una firma de carga útil contra un objetivo sin parchear, romper esa conexión de red probablemente bloqueará el objetivo como un efecto secundario, ya que el código de explotación se activa realmente por una desconexión de red. Debido a esto, se insta a los usuarios a probar su IPS contra este módulo Metasploit una vez que el RP se haya fusionado con la rama maestra de Framework.
Si bien las defensas específicas y la detección contra este exploit en particular son útiles, las nuevas vulnerabilidades RDP en la familia 'DejaBlue' han subrayado este protocolo en general como un riesgo. La complejidad inherente del protocolo sugiere que los errores conocidos hoy en día no serán los últimos, particularmente porque los desarrolladores e investigadores de exploits ahora tienen una comprensión más matizada de RDP y sus debilidades. La explotación continua es probable, al igual que la mayor sofisticación de explotación. Si aún necesita usar RDP en su entorno, además de las recomendaciones estándar, como habilitar la autenticación de nivel de red , ajustar los controles de acceso a la red también contribuirá en gran medida a mitigar las vulnerabilidades futuras.
La comunidad de seguridad más amplia ha enfatizado la importancia y la urgencia de parchear contra CVE-2019-0708. Nos hacemos eco de este consejo: Rapid7 Labs ha escrito anteriormente sobre el aumento de la actividad maliciosa de RDP que han observado desde la publicación de la vulnerabilidad BlueKeep.
https://blog.rapid7.com/2019/09/06/initial-metasploit-exploit-module-for-bluekeep-cve-2019-0708/amp/
