Haker ulepszył ataki NSA, teraz działają na wszystkich niezałatanych Windowsach

Strona główna Aktualności
image

O autorze

Open source czyni cuda także w dziedzinie bezpieczeństwa IT. Zainteresowanych tematyką testów penetracyjnych na pewno zainteresuje pojawienie się na GitHubie ulepszonej wersji słynnych exploitów NSA do ataków na komputery w sieciach Windows. Dzięki staraniom Seana Dillona z firmy RiskSense, działają one teraz na wszystkich systemach Microsoftu, od Windowsa 2000 po Windows Server 2016, zarówno w odmianach 32- jak i 64-bitowych. Co więcej, badacz udostępnił je jako proste w użyciu moduły Metasploita, a więc można spodziewać się, że wkrótce wiele sieci zacznie być… testowanych.

W zeszłym roku grupa TheShadowBrokers udostępniła publicznie exploity NSA, stworzone przez elitarnych hakerów z mitycznej wręcz jednostki The Equation Group. Zarządzający nimi prosty w użyciu toolkit Fuzzbunch pozwalał nawet niewyszkolonym specjalnie rządowym agentom przeprowadzać cyberataki na wskazane cele – często porównywano go z używanym przez branżę bezpieczeństwa Metasploitem, służącym do automatyzacji testów penetracyjnych.

Kilka tygodni później administratorzy z kilkudziesięciu krajów mogli tylko płakać, patrząc jak ich systemy są dewastowane przez ransomware WannaCry. Dzięki exploitowi EternalBlue, biorącemu na cel luki w implementacji protokołu SMBv1, masowo zarażano podróżnych podłączających się do otwartych sieci Wi-Fi, a gdy wracali oni ze swoim laptopem do sieci firmowej, zarażali dalej wszystko co się da robakiem szyfrującym dane na dysku.

Microsoft oczywiście dawno już załatał podatności, wykorzystywane przez te upublicznione exploity NSA. Ale ile działających na świecie systemów z rodziny Windows zostało dzięki temu uodpornionych? Zarówno pentesterzy, jak i skryptujące dzieci będą mogli to łatwo sprawdzić. Do Metasploita można już wgrać moduły o nazwach exploit/windows/smb/ms17_010_psexec oraz auxiliary/admin/smb/ms17_010_command, które implementują kompletny zestaw zdalnego atakowania i sterowania z exploitów EternalChampion/EternalSynergy i EternalRomance/EternalSynergy, mogący zaatakować każdy niezałatany system z kernelem Windows NT.

Zastępują one dotychczasowy moduł exploit/windows/smb/ms17_010_eternalblue i pozwalają wykonać dowolne polecenie na zaatakowanym systemie z uprawnieniami administratora. Jak zapewnia autor, jego moduł exploitujący jest wysoce niezawodny i zaleca się jego stosowanie wszędzie tam, gdzie mechanizm named pipe jest udostępniony do anonimowych loginów, np. w komputerach podłączonych do domeny i na wszystkich systemach sprzed ery Visty.

Wprowadzono tu kilka ulepszeń, względem oryginału NSA – zamiast od razu wykonywać shellcode, nadpisuje on strukturę sesji połączeń SMB, aby uzyskać sesję Admin/SYSTEM. Sam moduł został odchudzony, sprawdza dostępność mechanizmu named pipes, tam gdzie możliwe stosuje dodatkową losowość i oferuje wygodny dostęp do interfejsu Windows Service Control Managera.

Mamy nadzieję, że we wszystkich Waszych Windowsach podatności CVE-2017-0143 i CVE-2017-0146 zostały załatane. Jeśli nie, jak najszybciej należy skorzystać z łatki KB4013389, opisanej w biuletynie MS17-010.

Przydatne linki

© dobreprogramy