Exploits del Kernel - Windows
Es un gran desafío garantizar que todos los escritorios y servidores de los usuarios estén actualizados, y es probable que el cumplimiento del 100 % de todos los equipos con parches de seguridad no sea un objetivo alcanzable. Suponiendo que un equipo haya sido el objetivo de la instalación de actualizaciones, por ejemplo, mediante SCCM (Microsoft System Center Configuration Manager) o WSUS (Windows Server Update Services), aún existen muchas razones por las que podrían no instalarse. A lo largo de los años, ha habido muchos exploits del kernel que afectan al sistema operativo Windows desde Windows 2000/XP hasta Windows 10/Server 2016/2019. A continuación, se puede encontrar una tabla detallada de exploits conocidos de ejecución remota de código/escalada de privilegios locales para sistemas operativos Windows, desglosados por nivel de paquete de servicio, desde Windows XP en adelante hasta Server 2016.
Sistema operativo base
XP
2003
Vista
2008
7
2008R2
8
8.1
2012
2012R2
10
2016
Service Pack
SP0
SP1
SP2
SP3
SP0
SP1
SP2
SP0
SP1
SP2
SP0
SP2
SP0
SP1
SP0
SP1
MS03-026
•
•
•
•
•
•
•
MS05-039
•
•
•
•
•
MS08-025
•
•
•
•
•
•
•
•
•
MS08-067
•
•
•
•
•
•
•
•
•
•
MS08-068
•
•
•
•
•
•
•
•
•
•
MS09-012
•
•
•
•
•
•
•
•
•
•
MS09-050
•
•
•
•
•
MS10-015
•
•
•
•
•
•
•
•
MS10-059
•
•
•
•
•
•
•
MS10-092
•
•
•
•
•
•
•
MS11-011
•
•
•
•
•
•
•
•
•
•
•
MS11-046
•
•
•
•
•
•
•
•
•
•
•
•
•
MS11-062
•
•
•
•
MS11-080
•
•
•
•
MS13-005
•
•
•
•
•
•
•
•
•
•
•
MS13-053
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
MS13-081
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
MS14-002
•
•
•
•
MS14-040
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
MS14-058
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
MS14-062
•
•
•
MS14-068
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
MS14-070
•
•
•
MS15-001
•
•
•
•
•
•
•
•
MS15-010
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
MS15-051
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
MS15-061
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
MS15-076
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
MS15-078
•
•
•
•
•
•
•
•
•
•
•
•
•
MS15-097
•
•
•
•
•
•
•
•
•
•
•
•
•
•
MS16-016
•
•
•
•
•
•
•
•
•
MS16-032
•
•
•
•
•
•
•
•
•
•
•
•
MS16-135
•
•
•
•
•
•
•
•
•
•
•
•
•
•
MS17-010
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
CVE-2017-0213: COM Aggregate Marshaler
•
•
•
•
•
•
•
•
•
•
Hot Potato
•
•
•
•
•
•
•
•
•
Smashed Potato
•
•
•
•
•
•
•
•
•
Nota: Esta tabla no está 100% completa y no llega más allá de 2017. A día de hoy, hay más vulnerabilidades conocidas para las versiones más nuevas del sistema operativo e incluso para Server 2019.
Este sitio es útil para buscar información detallada sobre las vulnerabilidades de seguridad de Microsoft. Esta base de datos tiene 4.733 vulnerabilidades de seguridad registradas al momento de escribir este artículo, lo que muestra la enorme superficie de ataque que presenta un entorno Windows.
Como podemos ver en esta tabla, hay muchos exploits que funcionan desde Windows XP hasta Server 2012R2. A medida que llegamos a Windows 10 y Server 2016, hay menos exploits conocidos. Esto se debe en parte a los cambios en el sistema operativo a lo largo del tiempo, incluidas las mejoras de seguridad y la descontinuación de versiones anteriores de protocolos como SMB. Una cosa importante que se debe tener en cuenta en esta tabla es que cuando se descubren nuevas vulnerabilidades o se lanzan exploits (como MS17-010), estos suelen filtrarse y afectar a versiones anteriores del sistema operativo. Por eso es vital estar al tanto de la aplicación de parches o actualizaciones, el retiro o la segregación de los sistemas Windows que han llegado al final de su vida útil. Analizaremos esto con más profundidad más adelante en este módulo.
Es importante tener en cuenta que, si bien algunos de los ejemplos anteriores areson vulnerabilidades de ejecución remota de código, podemos utilizarlos con la misma facilidad para escalar privilegios. Un ejemplo es si obtenemos acceso a un sistema y notamos que un puerto como el 445 (servicio SMB) no es accesible desde el exterior, es posible que podamos escalar privilegios si es vulnerable a algo como EternalBlue (MS17-010). En este caso, podríamos reenviar el puerto en cuestión para que sea accesible desde nuestro host de ataque o ejecutar el exploit en cuestión localmente para escalar privilegios.
Vulnerabilidades notables
A lo largo de los años, han surgido muchas vulnerabilidades de Windows de alto impacto que pueden aprovecharse para escalar privilegios. Algunas son vectores de escalada de privilegios puramente locales y otras son fallas de ejecución de código remoto (RCE) que pueden usarse para escalar privilegios mediante el reenvío de un puerto local. Un ejemplo de esto último sería aterrizar en un equipo que no permite el acceso al puerto 445 desde el exterior, realizar un reenvío de puerto para acceder a este puerto desde nuestro equipo de ataque y aprovechar una falla de ejecución de código remoto contra el servicio SMB para escalar privilegios. A continuación, se presentan algunas vulnerabilidades de Windows de impacto extremadamente alto a lo largo de los años que pueden aprovecharse para escalar privilegios.
MS08-067- Esta era una vulnerabilidad de ejecución de código remoto en el servicio "Servidor" debido a un manejo inadecuado de las solicitudes RPC. Esto afectó a Windows Server 2000, 2003 y 2008 y Windows XP y Vista y permite que un atacante no autenticado ejecute código arbitrario con privilegios de SISTEMA. Aunque normalmente se encuentra en entornos de cliente como una vulnerabilidad de ejecución de código remoto, podemos llegar a un host donde el servicio SMB está bloqueado a través del firewall. Podemos usar esto para escalar privilegios después de reenviar el puerto 445 de vuelta a nuestro cuadro de ataque. Aunque se trata de una vulnerabilidad "heredada", todavía veo que aparece de vez en cuando en grandes organizaciones, especialmente en aquellas de la industria médica que pueden estar ejecutando aplicaciones específicas que solo funcionan en versiones anteriores de Windows Server/Desktop. No debemos descartar vulnerabilidades más antiguas incluso en 2021. Nos encontraremos con todos los escenarios posibles al realizar evaluaciones de clientes y debemos estar preparados para tener en cuenta todas las posibilidades. The Box Legacy en la plataforma Hack The Box muestra esta vulnerabilidad desde el punto de vista de la ejecución de código remoto. Hay una versión independiente y una versión Metasploit de este exploit.
MS17-010- También conocida como EternalBlue , es una vulnerabilidad de ejecución remota de código que formaba parte del kit de herramientas FuzzBunch publicado en la filtración de Shadow Brokers . Este exploit aprovecha una vulnerabilidad en el protocolo SMB porque el protocolo SMBv1 maneja incorrectamente los paquetes especialmente diseñados por un atacante, lo que lleva a la ejecución de código arbitrario en el host de destino como la cuenta SYSTEM. Al igual que con MS08-067, esta vulnerabilidad también se puede aprovechar como un vector de escalada de privilegios local si aterrizamos en un host donde el puerto 445 está bloqueado por firewall. Hay varias versiones de este exploit para Metasploit Framework, así como scripts de exploit independientes. Este ataque se mostró en el cuadro Blue en Hack The Box, nuevamente desde el punto de vista remoto.
ALPC Task Scheduler 0-Day- El método de punto final ALPC utilizado por el servicio del Programador de tareas de Windows podría utilizarse para escribir DACL arbitrarias en archivos .job ubicados en el directorio C:\Windows\tasks. Un atacante podría aprovechar esto para crear un vínculo físico a un archivo que el atacante controle. El exploit para esta falla utilizó la función de API SchRpcSetSecurity para llamar a un trabajo de impresión utilizando la impresora XPS y secuestrar la DLL como NT AUTHORITY\SYSTEM a través del servicio Spooler. Hay disponible un informe detallado aquí . El hackback de la caja Hack The Box se puede utilizar para probar este exploit de escalada de privilegios.
El verano de 2021 reveló un tesoro de nuevas fallas de ejecución remota de código y escalada de privilegios locales relacionadas con Windows y Active Directory para el deleite de los pentesters (y atacantes del mundo real), y estoy seguro de que también de las quejas de nuestros colegas en el lado de la defensa.
Hive Nightmare (a.k.a SeriousSam)
CVE-2021-36934 HiveNightmare, (aka SeriousSam) es una falla de Windows 10 que hace que CUALQUIER usuario tenga derechos para leer el registro de Windows y acceder a información confidencial independientemente del nivel de privilegio. Los investigadores desarrollaron rápidamente un exploit PoC para permitir la lectura de los subárboles de registro SAM, SYSTEM y SECURITY y crear copias de ellos para procesarlos sin conexión más tarde y extraer hashes de contraseñas (incluido el administrador local) utilizando una herramienta como SecretsDump.py. Puede encontrar más información sobre esta falla aquí y este binario de exploit se puede utilizar para crear copias de los tres archivos en nuestro directorio de trabajo. Este script se puede utilizar para detectar la falla y también para solucionar el problema de ACL. Echemos un vistazo.
Comprobación de permisos en el archivo SAM
Podemos comprobar esta vulnerabilidad comprobando con icacls los permisos del archivo SAM. En nuestro caso, tenemos una versión vulnerable, ya que el BUILTIN\Usersgrupo puede leer el archivo.
Para que la vulnerabilidad se aproveche con éxito, también es necesaria la presencia de una o más copias de seguridad. La mayoría de los sistemas Windows 10 tendrán habilitada de forma predeterminada la creación de copias de seguridad periódicas, incluida la copia de seguridad necesaria para aprovechar esta falla.
Realizar ataque y analizar hashes de contraseñas
Este PoC se puede utilizar para realizar el ataque, creando copias de las colmenas de registro mencionadas anteriormente:
Estas copias pueden luego transferirse nuevamente al host de ataque, donde utilizaremos impacket-secretsdump para extraer los hashes. Podemos ver el proceso completo de envío en la sección:
CVE-2021-1675/CVE-2021-34527 PrintNightmare es una falla en RpcAddPrinterDriver que se utiliza para permitir la impresión remota y la instalación de controladores. Esta función está destinada a brindarles a los usuarios con privilegios de Windows el privilegio SeLoadDriverPrivilege con la capacidad de agregar controladores a un administrador de impresión remoto. Este derecho generalmente está reservado para los usuarios del grupo de administradores integrado y los operadores de impresión que pueden tener una necesidad legítima de instalar un controlador de impresora en la máquina de un usuario final de forma remota.
La falla permitía a cualquier usuario autenticado agregar un controlador de impresión a un sistema Windows sin tener el privilegio mencionado anteriormente, lo que permitía a un atacante la ejecución completa del código remoto como SISTEMA en cualquier sistema afectado. La falla afecta a todas las versiones compatibles de Windows y, dado que el administrador de impresión se ejecuta de forma predeterminada en los controladores de dominio, Windows 7 y 10, y a menudo está habilitado en los servidores Windows, esto presenta una superficie de ataque masiva, de ahí la "pesadilla". Microsoft lanzó inicialmente un parche que no solucionaba el problema (y la guía inicial era deshabilitar el servicio de administrador de impresión, lo que no es práctico para muchas organizaciones), pero lanzó un segundo parche en julio de 2021 junto con una guía para verificar que las configuraciones de registro específicas estén configuradas 0o no definidas.
Una vez que esta vulnerabilidad se hizo pública, se lanzaron rápidamente exploits de PoC. Esta versión de @cube0x0 se puede utilizar para ejecutar una DLL maliciosa de forma remota o local mediante una versión modificada de Impacket. El repositorio también contiene una implementación de C#. Esta implementación de PowerShell se puede utilizar para una escalada rápida de privilegios locales. De forma predeterminada, este script agrega un nuevo usuario administrador local, pero también podemos proporcionar una DLL personalizada para obtener un shell inverso o algo similar si agregar un usuario administrador local no está dentro del alcance.
Comprobando el servicio de spooler
Podemos comprobar rápidamente si el servicio Spooler se está ejecutando con el siguiente comando. Si no se está ejecutando, recibiremos un error de "ruta no existe".
Agregar un administrador local con la PoC de PowerShell PrintNightmare
Primero, comience por omitir la política de ejecución en el host de destino:
Ahora podemos importar el script de PowerShell y usarlo para agregar un nuevo usuario administrador local.
Confirmación de nuevo usuario administrador
Si todo salió como estaba previsto, tendremos un nuevo usuario administrador local bajo nuestro control. Agregar un usuario es "ruidoso". No queremos hacerlo en una interacción en la que el sigilo es una consideración. Además, queremos consultar con nuestro cliente para asegurarnos de que la creación de la cuenta esté dentro del alcance de la evaluación.
Esta es una pequeña muestra de algunas de las vulnerabilidades de mayor impacto. Si bien es fundamental que comprendamos y podamos enumerar y explotar estas vulnerabilidades, también es importante poder detectar y aprovechar fallas menos conocidas.
Enumeración de parches faltantes
El primer paso es mirar las actualizaciones instaladas e intentar encontrar actualizaciones que puedan haberse pasado por alto, abriendo así un camino de ataque para nosotros.
Examinar las actualizaciones instaladas
Podemos examinar las actualizaciones instaladas de varias maneras. A continuación, se muestran tres comandos independientes que podemos utilizar.
Ver actualizaciones instaladas con WMI
Podemos buscar cada KB (número de identificación de Microsoft Knowledge Base) en el Catálogo de Microsoft Update para tener una mejor idea de qué correcciones se han instalado y cuánto tiempo lleva el sistema con las actualizaciones de seguridad. Una búsqueda de KB5000808nos muestra que se trata de una actualización de marzo de 2021, lo que significa que es probable que el sistema esté muy atrasado con las actualizaciones de seguridad.
Ejemplo de CVE-2020-0668
A continuación, vamos a explotar Microsoft CVE-2020-0668: vulnerabilidad de elevación de privilegios del kernel de Windows , que explota una vulnerabilidad de movimiento de archivos arbitrarios aprovechando el seguimiento de servicios de Windows. El seguimiento de servicios permite a los usuarios solucionar problemas con los servicios y módulos en ejecución generando información de depuración. Sus parámetros se pueden configurar mediante el registro de Windows. Si se establece un valor MaxFileSize personalizado que sea menor que el tamaño del archivo, se solicita que se cambie el nombre del archivo con una .OLDextensión cuando se activa el servicio. Esta operación de movimiento la realiza NT AUTHORITY\SYSTEM, y se puede abusar de ella para mover un archivo de nuestra elección con la ayuda de puntos de montaje y enlaces simbólicos.
Comprobar los privilegios de usuario actuales
Verifiquemos los privilegios de nuestro usuario actual.
Después de construir la solución
Podemos usar este exploit para CVE-2020-0668, descargarlo y abrirlo en Visual Studio dentro de una máquina virtual. Al compilar la solución, se deberían crear los siguientes archivos.
En este punto, podemos usar el exploit para crear un archivo de nuestra elección en una carpeta protegida como C:\Windows\System32. No podemos sobrescribir ningún archivo protegido de Windows. Esta escritura de archivo privilegiada debe estar encadenada con otra vulnerabilidad, como UsoDllLoader o DiagHub para cargar la DLL y aumentar nuestros privilegios. Sin embargo, la técnica UsoDllLoader puede no funcionar si hay actualizaciones de Windows pendientes o en proceso de instalación, y el servicio DiagHub puede no estar disponible.
También podemos buscar cualquier software de terceros que se pueda aprovechar, como el Servicio de mantenimiento de Mozilla. Este servicio se ejecuta en el contexto de SYSTEM y lo pueden iniciar usuarios sin privilegios. El binario (no protegido por el sistema) para este servicio se encuentra a continuación.
C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
Compror permisos en binarios
icacls confirma que solo tenemos permisos de lectura y ejecución en este binario según la línea BUILTIN\Users:(I)(RX)en la salida del comando.
Generar binario malicioso
Generemos un binario malicioso maintenanceservice.exe que pueda usarse para obtener una conexión de reverse shell de Meterpreter desde nuestro objetivo.
Alojamiento del binario malicioso
Podemos descargarlo al objetivo mediante cURL después de iniciar un servidor HTTP de Python en nuestro host de ataque como en la sección anterior User Account Control. También podemos usar wget desde el objetivo.
Descarga del binario malicioso
Para este paso, necesitamos hacer dos copias del archivo .exe malicioso. Podemos simplemente extraerlo dos veces o hacerlo una vez y hacer una segunda copia.
Necesitamos hacer esto porque ejecutar el exploit corrompe la versión maliciosa de maintenanceservice.exe que se mueve a (nuestra copia en c:\Users\htb-student\Desktop a la que apuntamos) c:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe, del cual tendremos que dar cuenta más adelante. Si intentamos utilizar la versión copiada, recibiremos un error de sistema 216 porque el archivo .exe ya no es un binario válido.
Ejecutando el exploit
A continuación, ejecutemos el exploit. Acepta dos argumentos: los archivos de origen y destino.
Comprobación de permisos de un nuevo archivo
El exploit se ejecuta y, icacls al volver a ejecutarse, muestra la siguiente entrada para nuestro usuario: WINLPE-WS02\htb-student:(F). Esto significa que nuestro usuario htb-student tiene control total sobre el binario Maintenanceservice.exe y podemos sobrescribirlo con una versión no dañada de nuestro binario malicioso.
Reemplazo de archivo con binario malicioso
Podemos sobrescribir el maintenanceservice.exebinario c:\Program Files (x86)\Mozilla Maintenance Service con una copia funcional del binario malicioso creado anteriormente antes de proceder a iniciar el servicio. En este ejemplo, descargamos dos copias del binario malicioso en y C:\Users\htb-student\Desktop. Movamos la copia funcional que no fue dañada por el exploit al directorio Archivos de programa, asegurándonos de cambiar el nombre del archivo correctamente y eliminar el o el servicio no se iniciará. El comando solo funcionará desde una ventana cmd.exe, no desde una consola de PowerShell:
Abrir listener Multi Handler con metasploit
A continuación, guarde los siguientes comandos en un archivo de script de recursos llamado handler.rc.
Ejecutar Metasploit con Resource Script
Inicie Metasploit usando el archivo de script de recursos para precargar nuestra configuración.
Iniciando el servicio
Inicie el servicio y deberíamos obtener una sesión como NT AUTHORITY\SYSTEM.
Recibir una sesión de Meterpreter
Recibiremos un error al intentar iniciar el servicio, pero aún recibiremos una devolución de llamada una vez que se ejecute el binario de Meterpreter.
Caso práctico
Pruebe los tres ejemplos de esta sección para escalar privilegios a
NT AUTHORITY\SYSTEMen el host de destino. Envíe el contenido de la flag en el escritorio del administrador.
Comprobar privilegios del usuario
Última actualización
¿Te fue útil?
