r   e   k   l   a   m   a
r   e   k   l   a   m   a

Haker ulepszył ataki NSA, teraz działają na wszystkich niezałatanych Windowsach

Strona główna AktualnościBEZPIECZEŃSTWO

Open source czyni cuda także w dziedzinie bezpieczeństwa IT. Zainteresowanych tematyką testów penetracyjnych na pewno zainteresuje pojawienie się na GitHubie ulepszonej wersji słynnych exploitów NSA do ataków na komputery w sieciach Windows. Dzięki staraniom Seana Dillona z firmy RiskSense, działają one teraz na wszystkich systemach Microsoftu, od Windowsa 2000 po Windows Server 2016, zarówno w odmianach 32- jak i 64-bitowych. Co więcej, badacz udostępnił je jako proste w użyciu moduły Metasploita, a więc można spodziewać się, że wkrótce wiele sieci zacznie być… testowanych.

W zeszłym roku grupa TheShadowBrokers udostępniła publicznie exploity NSA, stworzone przez elitarnych hakerów z mitycznej wręcz jednostki The Equation Group. Zarządzający nimi prosty w użyciu toolkit Fuzzbunch pozwalał nawet niewyszkolonym specjalnie rządowym agentom przeprowadzać cyberataki na wskazane cele – często porównywano go z używanym przez branżę bezpieczeństwa Metasploitem, służącym do automatyzacji testów penetracyjnych.

Kilka tygodni później administratorzy z kilkudziesięciu krajów mogli tylko płakać, patrząc jak ich systemy są dewastowane przez ransomware WannaCry. Dzięki exploitowi EternalBlue, biorącemu na cel luki w implementacji protokołu SMBv1, masowo zarażano podróżnych podłączających się do otwartych sieci Wi-Fi, a gdy wracali oni ze swoim laptopem do sieci firmowej, zarażali dalej wszystko co się da robakiem szyfrującym dane na dysku.

r   e   k   l   a   m   a

Microsoft oczywiście dawno już załatał podatności, wykorzystywane przez te upublicznione exploity NSA. Ale ile działających na świecie systemów z rodziny Windows zostało dzięki temu uodpornionych? Zarówno pentesterzy, jak i skryptujące dzieci będą mogli to łatwo sprawdzić. Do Metasploita można już wgrać moduły o nazwach exploit/windows/smb/ms17_010_psexec oraz auxiliary/admin/smb/ms17_010_command, które implementują kompletny zestaw zdalnego atakowania i sterowania z exploitów EternalChampion/EternalSynergy i EternalRomance/EternalSynergy, mogący zaatakować każdy niezałatany system z kernelem Windows NT.

Zastępują one dotychczasowy moduł exploit/windows/smb/ms17_010_eternalblue i pozwalają wykonać dowolne polecenie na zaatakowanym systemie z uprawnieniami administratora. Jak zapewnia autor, jego moduł exploitujący jest wysoce niezawodny i zaleca się jego stosowanie wszędzie tam, gdzie mechanizm named pipe jest udostępniony do anonimowych loginów, np. w komputerach podłączonych do domeny i na wszystkich systemach sprzed ery Visty.

Wprowadzono tu kilka ulepszeń, względem oryginału NSA – zamiast od razu wykonywać shellcode, nadpisuje on strukturę sesji połączeń SMB, aby uzyskać sesję Admin/SYSTEM. Sam moduł został odchudzony, sprawdza dostępność mechanizmu named pipes, tam gdzie możliwe stosuje dodatkową losowość i oferuje wygodny dostęp do interfejsu Windows Service Control Managera.

Mamy nadzieję, że we wszystkich Waszych Windowsach podatności CVE-2017-0143 i CVE-2017-0146 zostały załatane. Jeśli nie, jak najszybciej należy skorzystać z łatki KB4013389, opisanej w biuletynie MS17-010.

Przydatne linki

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.