Cuando
parecía que una buena parte del mundo quería disfrutar de la Semana Santa,
llegan los chicos de The Shadow Brokers y vuelven a levantar la alfombra para sacar más material escondido del famoso arsenal de la NSA. Mucha gente tuvo que
ponerse a barrer a toda prisa.
Nos ponemos en antecedentes, en octubre de 2016 un grupo autodenominado "TheShadowBrokers"
publica en pastebin una información controvertida: sacan a subasta las
herramientas de hackeo de la NSA. Y como prueba liberan 250 Mb de exploits,
documentos y scripts que hicieron saltar las alarmas y dieron mucho
que hablar.
 |
| ¡Otra vez los de Shadow Group! |
Entre el material desvelado
podíamos encontrar
enumeradores de servicios RPC, recolectores de información SNMP,
implementaciones del algoritmo de cifrado DES, exploits para Solaris,
servidores FTP, aplicaciones web, etc. Muchas ganzúas para cerraduras
desprotegidas.
Ni una semana había pasado, y cuando nadie esperaba nada nuevo de este grupo, van y hacen un nuevo anuncio en el que vuelven a hacer que más de uno, y de dos, administradores, departamentos de comunicación y técnicos de seguridad se tengan que dar una carrera durante el fin de semana.
En especial debieron temblar los
cimientos de algún edificio en Redmond, sobre todo al ver como una buena parte
de los exploits afectaban directamente a determinadas versiones de Windows.
otra entrega de #ShadowBrokers cargada de exploits para Windows, repo aquí: https://t.co/AiJq8tqeLJ https://t.co/5SGLHXnoJD— David García (@dgn1729) 14 de abril de 2017
Una colección de 23 exploits y 6
utilidades, algunos descritos como 0-day y con nombres tan atractivos como "EARLYSHOVEL", "EASYBEE", "ETERNALROMANCE", "ENGLISHMANSDENTIST", "ETERNALBLUE" , o "ETERNALCHAMPION". ¿Quién no se resiste ante tales nombres?
Viendo algunas descripciones las
taquicardias estaban aseguradas. Una nueva remesa de ganzúas que incluye
ejecuciones remotas de código con privilegios de SYSTEM o root, exploits 0-day,
para plataformas Red Hat, Samba, Linux, IBM Lotus Domino, Windows XP, 2003,
Vista, 7, Windows 8, 2008, 2008 R2…
Véase una completa tabla con todas las
vulnerabilidades filtradas que ayuda a entender el impacto en los diferentes sistemas
operativos, gracias a Efrain Torres (@etlow)
de Metasploit.
La información filtrada también
iba más lejos el grupo daba a entender que la NSA también había espiado el
sistema de mensajería financiera SWIFT, empleado para la comunicación
interbancaria. Bajo la carpeta SWIFT se encuentran presentaciones, evidencias,
credenciales y muestras de la arquitectura interna de EastNets, uno de los
mayores servicios SWIFT en Oriente Medio.
Aquí es donde más gente se pone a
correr, hay que dar una respuesta rápida, SWIFT publica
un comunicado en el que vienen a negar el compromiso de la red.
"Los informes de un supuesto compromiso de la red de servicios de EastNets (ENSB) por hackers son totalmente falsos e infundados. La unidad de seguridad interna de la red EastNets ha realizado una comprobación completa de sus servidores y no encontró ningún compromiso de hackers ni vulnerabilidades."
 |
| ¿Supuesto compromiso? Son rumores, son rumores. Falso e infundado. |
Microsoft, por su parte tampoco
iba a ser menos, después del temblor en los cimientos de Redmond, debió ponerse
mucha gente en actividad. Rápidamente el equipo MSRC (Microsoft Security
Response Center) publicaba un comunicado.
En las primeras líneas ya revelaban sus conclusiones: "nuestros ingenieros han investigado los
exploits publicados y la mayoría ya están parchados". A partir de aquí
ya nos podemos imaginar todo lo que sigue.
Microsoft releases blog on impact of #ShadowBrokers disclosure today https://t.co/tUPZE84CTU @msftsecresponse— Phillip Misner (@phillip_misner) 15 de abril de 2017
Incluso publicaban una tabla con
la lista de los parches publicados:
Nombre
|
Solución
|
"EternalBlue"
|
Corregido en MS17-010
|
"EmeraldThread"
|
Corregido en MS10-061
|
"EternalChampion"
|
Corregido en CVE-2017-0146
& CVE-2017-0147
|
"ErraticGopher"
|
Corregido antes de la
publicación de Windows Vista
|
"EsikmoRoll"
|
Corregido en MS14-068
|
"EternalRomance"
|
Corregido en MS17-010
|
"EducatedScholar"
|
Corregido en MS09-050
|
"EternalSynergy"
|
Corregido en MS17-010
|
"EclipsedWing"
|
Corregido en MS08-067
|
Según Microsoft el resto de
exploits no afectan a versiones de Windows soportadas. Pero ya lo decíamos anteriormente
encontrarás dragones, más que en Juego de Tronos.
Después de esta nueva sorpresa de
los Shadow Brokers no nos extrañaría que en breve den a conocer nuevas entregas
con más material, que sin duda seguirá convulsionando el mundo de la seguridad
y provocando carreras en más de un departamento.
Como curiosidad, por si alguien
se pregunta si las muestras se habían enviado a VirusTotal antes de su
publicación…
Just in case you ask yourself if those #EquationGroup samples have been used & submitted to VT before the leak by #ShadowBrokers pic.twitter.com/zHBCm1xFck— Florian Roth (@cyb3rops) 17 de abril de 2017
Más información:
una-al-dia (19/08/2016) A la venta el arsenal del Equation
Group
una-al-dia (10/04/2017) The Shadow Group libera el resto del
arsenal robado a la NSA
una-al-dia (20/08/2016) Dispositivos Cisco afectados por el
arsenal de Equation Group
una-al-dia (22/08/2016) Antiguos dispositivos Fortinet
afectados por un exploit de Equation
No
credibility to the online claim of a compromise of EastNets customer
information on its SWIFT service bureau
Protecting customers and evaluating risk
Antonio Ropero
Twitter: @aropero
Hola.
ResponderEliminarEs obvio que antes un comunicado así, las empresas se mueven para evitar impacto reputacional. ¿Existe constancia reportada de algún ataque o filtración de datos aprovechando las vuln o los exploits que cita la noticia? Recordemos que las empresas están obligadas a declarar este tipo de fugas.
saludos.