Muchas empresas no se dan cuenta de los riesgos que existen al no actualizar los sistemas operativos, programas, cms.... He aquí un claro ejemplo de porque debemos actualizar siempre nuestros sistemas y estar al tanto de nuevas actualizaciones.
Introducción:
La actualización de Windows "MS16-032" que salió el 8 de marzo del 2016 corrige una vulnerabilidad que podría permitir la elevación de privilegios si se produce un error en el servicio de inicio de sesión secundario de Windows administrar correctamente los controladores de solicitud de memoria. El parche que cubre la vulnerabilidad es el KB3139914. La vulnerabilidad recibe el nombre de CVE-2016-0099.Mediante el cmdlet Get-Hotfix podemos ver las actualizaciones instaladas en nuestro equipo, podemos filtrar para que salgan solo actualizaciones de seguridad mediante: Get-Hotfix –description “Security Update”.
Si el equipo tiene instalado el parche ya estaremos seguros ante la vulnerabilidad.
PoC:
Para el correcto uso de esta prueba de concepto se deberá tener las políticas de ejecución en "Unrestricted", podemos cambiar dichas políticas en el usuario actual con el comando:> Set-ExecutionPolicy Unrestricted -Scope CurrentUser -Force, desde nuestro PowerShell. Para ver las políticas aplicadas usaremos el cmdlet Get-ExecutionPolicy
Exploit (Solo funcionará con PowerShell 2.0 y con un procesador de dos o más núcleos):
Para usar el exploit lo descargaremos y lo importaremos con el comando > Import-Module <Archivo.ps1>
Una vez importado llamaremos a la función con el comando: > Invoke-MS16-032
0 comentarios: