Résolu : Pourquoi les exploits de Bluekeep dans la nature causent des correctifs

Les récentes attaques dans la nature sur la vulnérabilité critique de Bluekeep dans de nombreuses versions de Windows n’affectent pas seulement les machines non corrigées. Il s’avère que les exploits – qui reprennent la version de septembre du framework Metasploit – provoquent également le crash de nombreuses machines corrigées.

Vers la fin de la semaine dernière, les utilisateurs de Windows ont appris pourquoi : a patch séparé Microsoft publié il y a 20 mois pour la vulnérabilité de Meltdown dans les processeurs Intel. La nouvelle des accidents est apparue il y a cinq jours, lorsque le chercheur Kevin Beaumont a découvert un exploit malveillant de Bluekeep dans la nature. a fait s’écraser un de ses pots de miel quatre fois pendant la nuit.. Le développeur de Metasploit Sean Dillon a d’abord imputé les crashs aux « forces reptiliennes mystiques qui contrôlent tout ». Puis il a lu un message Twitter du chercheur Worawit Wang :

D’après la pile d’appels, la cible semble avoir un patch d’ombre kva. Le shellcode original du noyau bleu éternel ne peut pas être utilisé sur la cible du patch kva shadow. Donc l’exploit a échoué pendant l’exécution du shellcode du noyau

– Worawit Wang (@sleepya_) Le 4 novembre 2019

Dans un article publié le jeudiécrit Dillon :

Il s’avère que mes laboratoires de développement BlueKeep n’avaient pas le patch Meltdown, mais dans la nature, c’est probablement le cas le plus courant.

tl;dr : Les effets secondaires du patch Meltdown cassent par inadvertance les charges utiles du noyau de connexion syscall utilisées dans des exploits tels que EternalBlue et BlueKeep. Voici une horrible façon de contourner le problème… mais : il fait exploser les shells système pour que vous puissiez exécuter Mimikatz, et après tout, n’est-ce pas de cela qu’il s’agit ?

Boucle récursive

L’article de Dillon explique en profondeur pourquoi son exploit n’a pas fonctionné sur les machines qui ont installé le patch Meltdown, que Microsoft a appelé KVA Shadow, abréviation de Kernel Virtual Address Shadow. En bref, l’atténuation a fonctionné en isolant les tables de pages de mémoire virtuelle des fils de discussion en mode utilisateur de la mémoire du noyau. L’exception est un petit sous-ensemble de code et de structures du noyau, qui doit être suffisamment exposé pour permuter les tables de pages du noyau lors de l’exécution des exceptions trap, des appels système et des fonctions similaires. Le shellcode généré par l’exploit Bluekeep de Dillon ne faisait pas partie du code KVA Shadow, donc le mode utilisateur ne pouvait pas réagir avec le Shadow Code. En conséquence, le noyau est resté coincé dans une boucle récursive jusqu’à ce que le système s’arrête finalement.

Dillon a depuis lors réécrire le code d’exploit. Il s’attend à ce que le correctif soit bientôt intégré dans le module Bluekeep officiel de Metasploit.

Les accidents sont apparus après que des attaquants ont commencé à exploiter Bluekeep dans une tentative d’installer des mineurs de cryptocurrency sur des machines non corrigées. Les exploits ne se propagent pas d’ordinateur en ordinateur sans interaction avec l’utilisateur, et comme nous l’avons noté, ils ont également causé de nombreuses machines à planter, ce qui a amené de nombreuses personnes à ignorer la gravité potentielle de la vulnérabilité Bluekeep. Les chercheurs de Microsoft, cependant, averti la semaine dernière qu’ils « ne peuvent pas ignorer les améliorations qui se traduiront probablement par des attaques plus efficaces. » Ils ont également déclaré que « l’exploit BlueKeep sera probablement utilisé pour livrer des charges utiles plus impactantes et plus dommageables que les mineurs de pièces ».

Pendant ce temps, Marcus Hutchins, le chercheur en sécurité qui va aussi par le manche MalwareTech, a présenté des arguments convaincants
que les exploits de Bluekeep peuvent être graves même s’ils ne se propagent pas comme un ver d’ordinateur en ordinateur sans interaction de l’utilisateur comme l’ont fait les éclosions de WannaCry et NotPetya.

Pivot interne

WannaCry et NotPetya ont exploité le protocole de bloc de messages du serveur, qui était activé sur de nombreux ordinateurs de bureau. Bluekeep, en revanche, exploite les services de bureau à distance de Windows, qui sont généralement activés uniquement sur les serveurs.

« Non seulement un ver attirerait beaucoup d’attention, mais il serait techniquement difficile en raison des limites de BlueKeep, » Hutchins écrit. Cela ne veut pas dire que Bluekeep n’a pas le potentiel de causer des dommages importants. Parce que les serveurs agissent généralement en tant qu’administrateurs de domaine, outils de gestion de réseau ou partagent les mêmes informations d’identification d’administrateur local avec d’autres machines du réseau, ils ont la capacité de contrôler une grande partie du réseau.

« En compromettant un serveur de réseau, il est presque toujours extrêmement facile d’utiliser des outils automatisés pour pivoter en interne (ex : avoir le logiciel de rançon de serveur pour chaque système sur le réseau), » Hutchins expliqué.

Bluekeep affecte Windows 7, Windows Server 2008 R2 et Windows Server 2008. Des correctifs pour ces versions sont disponibles ici. En raison de sa sévérité, Microsoft a mise à disposition des correctifs pour Windows XP, Vista et Server 2003, qui ne sont plus pris en charge. Les personnes ou les organisations qui n’ont pas encore de patch devraient le faire dès que possible.