Elevator Pitch
Esta investigación está enfocada en la modificación del exploit BlueKeep para la explotación del (CVE-2019-0708). El exploit fue desarrollado por la casa de software Rapid7 está diseñado para lograr el compromiso de equipos cuyo sistema operativo mantenga presente la vulnerabilidad.
Description
Hemos modificado el exploit de la casa de software Rapid7 para hacerlo completamente funcional (un exploit dinámico), dado que en la actualidad el mismo se encuentra en un ranking considerado manual, es decir el exploit es considerado inestable o difícil de explotar y es básicamente un DoS. Esta clasificación también se usa cuando el módulo no tiene uso a menos que el usuario lo configure específicamente. (https://github.com/rapid7/metasploit-framework/wiki/Exploit-Ranking). Para ello calculamos la dirección a nivel de memoria ram con la intención de demostrar la explotación de los equipos vulnerables sin necesidad de modificar los valores de registros. Como resultado detectamos la dirección inicial del Non-Page Pool parte fundamental que permite comprometer los sistemas operativos mencionados de manera activa
Notes
Los informes indican que varios actores (hackers) están ejecutando escaneos de puertos para detectar la vulnerabilidad BlueKeep en los sistemas Windows. Se ha detectado que estos actores se esconden detrás de docenas de nodos de salida TOR, lo que indica que la ola de ataques relacionados con BlueKeep podría ser el próximo. Afortunadamente, los investigadores de seguridad aún no han publicado ningún código de explotación de prueba de concepto para BlueKeep funcional dinámicamente. Sin embargo, varias compañías han revelado públicamente que han desarrollado con éxito el código de explotación para BlueKeep, que tienen la intención de mantener en privado. La lista incluye McAfee, Kaspersky, Check Point y MalwareTech.