Exploiting CVE-2020-0609 & CVE-2020-0610 - PoC DoS

Hola estimados fieles lectores, en esta oportunidad tocaremos las nuevas vulnerabilidades encontradas en el sistema operativo Windows el 14 de enero de este año 2020.

CVE-2020-0609 & CVE-2020-0610

Estas 2 vulneabilidades permiten ejecutar codigo de manera remota en el servicio de Windows Remote Control Gateway (RD Gateway), este tipo de ataque permite que el hacker se pueda conectar al servidor RDP sin autentificación enviando  código remotos al sistema operativo(0x00 - 0xFFFF) 
Los datos a escribir también son arbitrarios con una longitud de hasta 1000 bytes a la vez y un máximo de 4096 durante una sesión.

RD Gateway Actúa como un proxy RDP entre alguno servidores internos de red.
Este servicio UDP lo puedes identificar con el N. 3391 por defecto.

Pueden utilizar SHODAN para encontrar algunos servicios vulnerables y poder auditarlo con una herramienta de análisis de vulnerabilidades para las versiones de CVE.

Versiones vulnerables:

• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2016
  Windows Server 2019

https://beta.shodan.io/search?query=port%3A3391+

Tenemos aproximadamente 19,116 objetivos encontrados que podemos testear para nuestra prueba de concepto.

https://beta.shodan.io/search?query=port%3A3391+country%3A%22PE%22

En mi caso yo elaborare el testing con algunos servicios de Perú.

Exploit BlueGate fue creado por Marcus Hutchins, esta herramienta permite analizar un objetivo y testear si es vulnerable, también tiene un modulo de ataque de DoS para dejar fuera de servicio el protocolo RD Gateway.

 A simple vista podemos ver que esta herramienta ejecuta comandos arbitarios del sistema y la conexión SSL para el cifrado de paquetes.

root@kali:~/Exploits/CVE-2020-0609-CVE-2020-0610/BlueGate# python3 BlueGate.py -M check -P 3391 190.40.170.19

root@kali:~/Exploits/CVE-2020-0609-CVE-2020-0610/BlueGate# python3 BlueGate.py -M dos -P 3391 190.40.170.19
[*] Sending DoS packets to 190.40.170.19...

Les adjunto el exploit en Github si desean realizas sus pruebas de concepto.
https://github.com/ollypwn/BlueGate

Elaborando un mapeo de peticiones con Wireshark podemos ver como las peticiones pasan cifradas y los tipos de respuesta son aceptados por sitio web dando como resultado un envio de paquetes de manera masiva.

1000, b"\x41"*1000

Tambien nos arroja el numero de HOST del sistema operativo del servidor vulnerable:

WIN-H7M6A4JVDR3

Según fuentes oficiales de Microsoft ya se estan desarrollando exploit que puedan permitir acceder a los sistemas operativos por envios de Payloads en los buffer de la memoria interna, como lo fue eternalblue.

Para evitar ser victimas de este ataque remoto, deben bloquear el puerto UDP 3391, en las propiedades de su equipo de servicios.

Mientars tanto microsoft ya lanzo al publico información respecto a la vulnerabilidad en su portal sin embargo todavia no parece encontrar una forma de mitigar esta vulnerabilidad critica.

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0609

Recomendación denegar puertos específicos para no permitir conexiones remotas maliciosas, activar tu firewall de tu Router, actualizar los paquetes del sistema operativo y como siempre elaborar backup ante cualquier amenaza de malware que se presente.

También no se olviden de utilizar un IDS, IPS o un DMZ para denegar este tipo de conexion remotas.

Si estas tus pininos como sysadmin te recomiendo descargar y comprarte el firewall GlassWire, para que ganes un poco de experiencia en firewalls a nivel de aplicativos de escritorio.

https://www.glasswire.com/

Saludos.