Hace unas horas el grupo de hackers Shadow Brokers distribuía un nuevo pack de exploits, supuestamente con origen en la NSA que contenía, entre otras, diversas herramientas para aprovechar vulnerabilidades en diversos sistemas Windows. Tras el hype y la confusión inicial se ha comprobado que Microsoft ya había parcheado todas ellas en los últimos meses.
En la que se considera distribución de material más importante hasta la fecha por parte de Shadow Brokers, hace poco más de 24 horas se distribuyeron toda una serie de exploits que tenían una pinta realmente buena o mala dependiendo del color del sombrero. En un primer momento y como vivimos en un mundo en que la inmediatez de la noticia es lo que manda, muchos analistas de seguridad consideraron a estos exploits 0days y por tanto completamente funcionales en cualquier sistema afectado. Afortunadamente esto no es así, ya que todos ellos, como se ha podido comprobar más tarde y con más calma, han sido ya parcheados con las últimas actualizaciones.
Pero ojo! esto significa que no sirvan para nada? ni mucho menos, ya que aparte de exploits que afectan por ejemplo a Windows XP que ya no tienen ningún tipo de soporte por parte de Microsoft y que por tanto no recibe estas actualizaciones de seguridad, millones de sistemas en todo el mundo siguen siendo vulnerables. Sistemas que no tengan las actualizaciones automáticas habilitadas, imágenes de sistemas desactualizadas en grandes servicios de hosting, etc...
Las herramientas distribuidas son las siguientes (entre paréntesis el parche correspondiente):
- ETERNALROMANCE-Elevación de privilegios remota, desde Windows XP a Windows 2008 sobre puerto 445 TCP (MS17-010)
- ENTERNALCHAMPION, ETERNALSYSTEM -Exploit remoto, todas las versiones Windows hasta WIndows 8 y Windows 2012 (CVE-2017-0146 y CVE-2017-0147)
- ETERNALBLUE-Exploit remoto via SMB y NBT, de Windows XP a Windows 2012 (MS17-010)
- EXPLODINGCAN -Exploit remoto para IIS 6.0 en Windows 2003
- EWORKFRENZY -Exploit para Lotus Domino 6.5.4 y 7.0.2
- ETERNALSYNERGY -Exploit para Windows 8 y Windows Server 2012 (MS17-010)
- EMERALDTHREAD-Exploit para SMB en Windows Server 2003 y Windows XP (MS10-061)
- ERRATICGOPHER-Exploit para SMB en Windows Server 2003 y Windows XP (parcheado antes del lanzamiento de Windows Vista)
- EDUCATEDSCHOLAR-Exploit para SMB (MS09-050)
- ECLIPSEDWING-Exploit para SMB WIndows 2000, 2003 server y XP (MS08-067)
- FUZZBUNCH-Exploit Framework para los anteriores exploit, algo así como un Metasploit
Ahora la pregunta del millón, que muchos se están haciendo. Shadow Brokers ha lanzado toda esta serie de exploits porque Microsoft ya los ha parcheado o ha sido Microsoft la que los ha parcheado ya que sabía de algún modo que estaban en poder de este grupo? En varios de los boletines de Microsoft se dice que estas vulnerabilidades no estaban siendo utilizadas en exploits..
Además de estos exploits, que han sido los que más ruido han creado, el material distribuído también contiene entre otras otras herramientas para atacar sistemas bancario. Hablamos por ejemplo de EastNets, el servicio SWIFT más importante en Oriente Medio y que según algunos medios, podría estar siendo usado para el lavado de dinero del terrorismo internacional en la zona. Lo cual da sentido a esta herramienta la cual permitiría a la NSA controlar esas operaciones en la sombra.
Fuente Microsoft
