El segundo día de Blackhat 2013 nos trajo una vulnerabilidad del día cero, un recuerdo triste del joven investigador Barnaby Jack y de las vulnerabilidades y análisis de ICS/SCADA.
Una de las charlas más memorables del día 2 fue la dictada por Mateusz “j00ru” Jurczyk y Gynvael Coldwind, que exploraba en profundidad la vulnerabilidad de doble búsqueda (double fetch) a nivel kernel que estuvo llamando la atención al menos desde 2008. Esto es interesante si se tiene en cuenta que el código de saturación de búfer está bien auditado, a diferencia de las condiciones de carrera (race condition). Estas condiciones de carrera permiten la explotación de elevación de privilegios y otros ataques virtuales. Los investigadores desarrollaron el marco Bochspwn para implementar herramientas del sistema operativo a nivel del CPU para localizar las vulnerabilidades de doble búsqueda y desde entonces han descubierto cosas importantes en el kernel de Windows y Linux. Presentaron la vulnerabilidad del día cero de Windows 8 (después de avisar a Windows) con todavía más descubrimientos, lanzando su código de proyecto Bochspwn en su charla “Identificando y Explotando las Condiciones de Carrera Kernel de Windows mediante Patrones de Acceso de Memoria”. Llama la atención que el código FreeBSD que examinaron se ha auditado antes, por lo que no tiene estas vulnerabilidades, mientras que Linux y Windows tienen muchos de esos problemas.
Se espera que alguien pueda portar el código para evaluar las interesantes y exóticas plataformas incrustadas y contribuir al cuerpo de trabajo. Por desgracia, una segunda parte de su trabajo, Hyperpwn, tuvo algunos retos técnicos inesperados en la estructura de las zonas de la memoria de mayor interés para los investigadores, por lo que todavía no estaba lista para presentarse. Son los gajes del oficio. De todos modos, la charla fue fantástica. Su trabajo también había ganado un bien merecido Pwnie a la “Investigación más innovadora” la noche anterior.
“Explotación de dispositivos SCADA” demostró una adicción en atacar entornos ICS – “Todo depende del pivote”. Esto significa que es más fácil infiltrar los entornos ICS desde el backoffice y pasar por los de informe y control del entorno, los servidores de historia y otros recursos de Windows, posiblemente hasta los mismos PLCs. Otra charla, “Comprometiendo los entornos industriales a 40 millas de distancia”, desmenuzó ese mito al exponer la implementación criptográfica pobre e insegura de varios productos ICS muy usados. Además, sin duda las implementaciones ICS de la actualidad no siguen los mapas de red genéricos posicionando en la red capas enterradas PLC. Los recursos de red están distribuidos y las operaciones e implementaciones son pobres y desordenadas. Pero tenían otros puntos y ejemplos interesantes. Indicaron que las tecnologías basadas en OPC y DCOM, que se usan “en todos lados en el proceso de control de la industria”, hacen que decenas de puertos de cortafuegos permitan el acceso a lo largo de LANs, y que 93.793 servicios ICS inseguros basados en Modbus espiaban los puertos conectados directo a Internet en 2012. Los investigadores ejemplificaron después las vulnerabilidades en dispositivos PLC usados con frecuencia, haciendo que una bomba desborde el contenido de un tanque e informe que los dispositivos estaban funcionando como es debido, en otro retroceso al incidente Stuxnet.
“Comprometiendo los entornos industriales a 40 millas de distancia” recalcó impresionantes auditorías de varios vendedores que se mantuvieron en el anonimato, usados a menudo en los dispositivos SCADA, demostrando que la autentificación y los proyectos criptográficos de estos dispositivos no alcanzan el nivel publicitado. La codificación de radio ICS puede permitir el acceso remoto a dispositivos inseguros basados en Modbus y los presentadores pusieron de ejemplo una pequeña explosión de un tanque. Hasta identificaron la vulnerabilidad de día cero de corrupción de memoria en un dispositivo remoto del portal de acceso que causaba que el sistema se congele, un problema grave en los entornos ICS.
Y claro que nadie reemplazó el espacio de Barnaby Jack con su charla “Dispositivos de implantes médicos: hackeando humanos”. En vez de ello, se usó la sala para conmemorar a Jack y su trabajo por ser una inspiración, un colega, un amigo y un verdadero hacker. La noche anterior se le entregó el único “Pwnie por el logro de toda una vida”, que se entrega a “aquellos de nosotros que hemos pasado a hacer cosas más grandiosas y significativas”.
¡Saludos! y espero con ansias una próxima reunión en 2014.
Blackhat USA 2013 Día 2 – Vulnerabilidad del día cero de doble búsqueda y conmemoración a Barnaby Jack