CVE-2024-30078: Ejecución remota de código del controlador Wi-Fi de Windows

El pasado 11 de junio, Microsoft  publicó en sus noticias de parches una vulnerabilidad de alto impacto que afectaba al controlador de Wi-Fi de Windows, que consistía en una ejecución remota de código (RCE).

Explotación de la vulnerabilidad

Esta vulnerabilidad puede ser explotada por un atacante dentro del rango Wi-Fi de un dispositivo vulnerable, lo que le permite enviar paquetes especialmente diseñados al dispositivo sin necesidad de estar autenticado y sin necesidad de interacción del usuario. Si se explota con éxito, esto podría permitir al atacante ejecutar código arbitrario, lo que podría llevar a un compromiso completo del sistema.

En detalle

Un atacante puede aprovechar la vulnerabilidad del controlador Wi-Fi de Windows diseñando un punto de acceso Wi-Fi configurado con un SSID malicioso. Cuando el ordenador de la víctima escanea las redes Wi-Fi y encuentra el SSID del atacante, el código se ejecuta de forma remota en el sistema de la víctima.

El alcance del ataque puede incluir acceso no autorizado al sistema de la víctima, lo que podría provocar robo de datos, instalación de ransomware u otras acciones maliciosas.

La causa raíz de la vulnerabilidad es una validación de entrada incorrecta en el controlador Wi-Fi. Este fallo permite a un atacante manipular la entrada y desbordar un búfer, lo que puede ser explotado para ejecutar código malicioso de forma remota. 

Requisitos de ataque y versiones afectadas

Actualmente no existe un exploit publicado que permita probar la debilidad, aun así, para poder explotarla existen unos requisitos y características:

• Es necesario estar cerca de la red del controlador, concretamente dentro del rango de red Wi-Fi.

• La explotación se realiza sin necesidad de estar autenticado.

La vulnerabilidad ha sido catalogada con el identificador CVE-2024-30078 y tiene una puntuación de 8.8 según las métricas del CVSS 3.1.

Los sistemas afectados por esta vulnerabilidad son los siguientes:

• Windows 10 (Versiones 1507, 1607, 1809, 21h2, 22h2)

• Windows 11 (Versiones 21h2, 22h2, 22h3, 23h2)

• Windows Server (2008 SP2, 2008 R2 SP1, 2012, 2012 R2, 2016, 2019, 2022, incluyendo las instalaciones Server Core)

Mitigación y detección de la vulnerabilidad

Para detectar esta vulnerabilidad es necesario revisar la versión actual del sistema.

Para mitigar esta vulnerabilidad el principal aspecto a tratar es:

• Habilitar las actualizaciones automáticas, procurando tener la versión más reciente disponible.

• Evitar conectarse a redes públicas.

Javier Muñoz, Analista de Ciberseguridad en Zerolynx.

ADExplorer - cómo enumerar un dominio cuando el antivirus no está de acuerdo

En la entrega de hoy vamos a estar hablando sobre cómo enumerar un dominio cuando el antivirus no está de acuerdo.

Durante una auditoría de seguridad, enumerar el dominio es una tarea crucial para obtener una visión completa de la infraestructura del dominio corporativo, para lo cual se utilizan herramientas de recolección como SharpHound o PowerView. Sin embargo, estas herramientas a menudo son detectadas y bloqueadas por antivirus y otras medidas de seguridad implementadas. Además, dadas las restricciones de tiempo típicas de una auditoría, no siempre es posible evadir con éxito estas defensas para realizar la enumeración deseada.

En estos casos, surge la necesidad de buscar alternativas que no solo sean efectivas, sino también discretas. Una excelente alternativa es ADExplorer.exe, una herramienta proporcionada por Sysinternals y firmada por Microsoft. Al estar firmada por una entidad reconocida como Microsoft, ADExplorer es generalmente considerada como no maliciosa y por lo tanto, es menos probable que sea bloqueada por los antivirus.

No obstante, si un atacante está aprovechando herramientas como ADExplorer. Puede darse la ocasión donde la consulta LDAP pueda contener objectClass=* u objectGuid=*. Esto no es necesariamente ideal porque, dependiendo del tamaño de la organización, esto podría contener una gran cantidad de datos para recuperar y podría interrumpir las comunicaciones entre un C2 y la estación de trabajo en la que se ejecuta el agente.

Partiendo de tener un usuario de dominio, ADExplorer permite inspeccionar el dominio y realizar un snapshot del Directorio Activo en un fichero .dat. Aunque este snapshot no contiene tanta información detallada como una extracción completa realizada por SharpHound (no se enumeran sesiones, no proporciona un path de ataque, etc), sigue siendo un punto de partida muy útil para la enumeración del dominio. 

Una de las ventajas significativas de usar ADExplorer es la posibilidad de convertir el archivo .dat generado en un formato más utilizable para el análisis posterior. Utilizando la herramienta ADExplorerSnapshot.py, el archivo .dat puede ser convertido a formato .json. Esta conversión permite que los datos sean importados a una GUI de BloodHound, una plataforma ampliamente utilizada para el análisis y visualización de la información del Directorio Activo. De esta manera, se puede aprovechar al máximo la información recolectada, facilitando una mejor comprensión de la infraestructura de red y potenciales vulnerabilidades.

Además, ADExplorer genera un tráfico que muchos sistemas de monitorización de redes no consideran malicioso. Esta característica puede ser muy interesante de cara a ejercicios de red team, donde el objetivo es recopilar la información necesaria sin ser detectado. Al no levantar sospechas con su tráfico, ADExplorer se convierte en una herramienta estratégica para los profesionales de la seguridad que buscan realizar una auditoría exhaustiva sin alertar a los sistemas de defensa de la red.

Y de esta manera finalizamos la entrega sobre ADExplorer, gracias por acompañarnos otro Lunes más hasta la próxima.

Ignacio Sánchez, Analista de Ciberseguridad en Zerolynx.