Ya puedes detectar exploits para el CVE-2020-0601 informado por la NSA

Hace poco tiempo, expertos del mundo de la seguridad publicaron dos PoC o pruebas de concepto en forma de exploit para aprovechar la vulnerabilidad CVE-2020-0601 descubierta recientemente, informada por la NSA.

Esta vulnerabilidad puedes descubrirla más a fondo en el boletín de Microsoft, además de haberla cubierto en los parches publicados durante el mes de Enero.

Lo de CurveBall viene porque la vulnerabilidad está relacionada con el algoritmo de cifrado de Curva Elíptica o ECC.

Detección de CurveBall y módulos Powershell firmados

Una vulnerabilidad informada directamente por la NSA siempre tiene gran impacto en la comunidad de expertos, esta en concreto no tardó en hacerse hueco, porque además Microsoft confirmó que era importante y potencialmente utilizable por los atacantes.

¿Pero qué es CurveBall?

Al comienzo, durante las primeras horas, hubo gente que pensó que estábamos ante una crisis tipo EternalBlue o Wannacry, así que los administradores se apresuraron a parchear endpoints, servidores web y en general todo aquello expuesto a la web.

Pero CVE-2020-0601 aka CurveBall no es nada de eso. Y sin embargo ha generado alarma, porque como dicen desde la National Security Agency, podría exponernos a grandes riesgos.

El peligro no sería, como en el caso de EternalBlue o Wannacry, una posible infección por crypto-gusano, sino que posibilitaría que un atacante engañe a los sistemas operativos de Microsoft, para que suplanten la identidad de terceros:

• Windows 10
• Windows Server 2016
• Windows Server 2019

Al poder suplantar estas identidades, alguien con ganas de hacer daño mediante código dañino conseguiría que este fuera verificable, «criptográficamente» hablando, para los hosts vulnerables.

CVE-2020-0601, MitM y malware «de confianza»

Esto quiere decir que las implementaciones de criptografía afectadas por CVE-2020-0601 corren riesgo de sufrir ataques man-in-the-middle e impersonación. Incluso los archivos firmados mediante criptografía (por ejemplo) usando la utilidad Signtool de Microsoft, dejarían de ser confiables.

Aún queda alglo más, y es que CurveBall expone nuestros endpoints (clientes) y perímetros de seguridad a riesgos evidentes, a causa del malware, concretamente malware firmado.

Grupos de criminales con recursos, así como actores potentes como estados seguramente intentarán abusar de ella para inventarse ejecutables validados supuestamente por Microsoft (por ejemplo) e introducirlos mediante esquemas de phishing.

Yomi Hunter, una pequeña ayuda

Tras haberse evaluado los riesgos de explotar la vulnerabilidad CurveBall, considerando además la retahíla de herramientas públicas para firmar código/archivos, los desarrolladores de Yomi Hunter han publicado una nueva versión capaz de reconocer exploits de este tipo.

Ahora las instancias públicas o privadas de este framework para threat hunting o reverse engineering buscan con éxito intentos de explotación de este CVE-2020-0601.

La nueva lógica incluida está disponible en los informes de malware generados por la herramienta en su versión community, además de en los informes de Virustotal integrados y por supuesto paralos clientes del Yoroi Cyber Security Defense Center.

Además, no solo podemos usar Yomi para detectar binarios portables, sino que incluso contamos con detección de exploits para módulos de Powershell firmados, importante porque cada vez se pone más de moda usar LOLbins (Living off Land) como los intérpretes de comandos nativos de Windows.