Grave RCE en SChannel de Windows aka #WinShock

Estándar

Hace unos días en Pastebin avisaban de que, si el viernes 14 de noviembre Micro$oft no categorizaba la vulnerabilidad MS14-066 / CVE-2014-6321 como un 0-day, se iba a publicar el exploit del llamado #WinShock o “SChannel Shenanigans”, una vulnerabilidad grave que:

– puede explotarse antes de cualquier autenticación, en métodos que se llaman al principio por muchas, muchas aplicaciones, bibliotecas y servicios.
– siempre acaba con los privilegios de SYSTEM, de forma local o remota. Un exploit para “Modo Dios” con 100% de éxito.
– puede utilizarse de varias maneras y el código defectuoso está muy expuesto. Todo, incluyendo Windows 2000 en adelante es vulnerable.
– el código heredado se ejecuta siempre. Esto significa que las protecciones modernas como EMET no funcionan.

Concretamente el problema vuelve estar en la implementación de SSL y TLS, esta vez por Microsoft que lo hace mediante Secure Channel, también conocido como Schannel, que permite la ejecución remota de código al procesar paquetes especialmente modificados.
Finalmente la vulnerabilidad fue clasificada con una criticidad de 10.0 en la escala CVSS (CVE-2014-6321) y Microsoft tuvo que publicar un workaround y una actualización crítica para solucionarlo pero, ¿parchearán todos los sistemas Windows antes de ser atacados?… es una pregunta retórica… *muac* *muac* ^_^

Go, go, empieza la carrera… podéis encontrar un gran detalle técnico en la entrada delblog BeyondTrust y, como dice el autor, “se deja como ejercicio para el lector un análisis más detallado y la explotación” 😉

pd. Impacientes, ya tenéis una PoC de Immunity Inc para Canvas

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s