Haker ulepszył ataki NSA, teraz działają na wszystkich niezałatanych Windowsach

Open source czyni cuda także w dziedzinie bezpieczeństwa IT.Zainteresowanych tematyką testów penetracyjnych na pewnozainteresuje pojawienie się na GitHubie ulepszonej wersji słynnychexploitów NSA do ataków na komputery w sieciach Windows. Dziękistaraniom Seana Dillona z firmy RiskSense, działają one teraz nawszystkich systemach Microsoftu, od Windowsa 2000 po Windows Server2016, zarówno w odmianach 32- jak i 64-bitowych. Co więcej, badaczudostępnił je jako proste w użyciu moduły Metasploita, a więcmożna spodziewać się, że wkrótce wiele sieci zacznie być…testowanych.

W zeszłym roku grupa TheShadowBrokers udostępniła publicznieexploityNSA, stworzone przez elitarnych hakerów z mitycznej wręczjednostki The Equation Group. Zarządzający nimi prosty w użyciutoolkit Fuzzbunch pozwalał nawet niewyszkolonym specjalnie rządowymagentom przeprowadzać cyberataki na wskazane cele – częstoporównywano go z używanym przez branżę bezpieczeństwaMetasploitem, służącym do automatyzacji testów penetracyjnych.

Kilka tygodni później administratorzy z kilkudziesięciu krajówmogli tylkopłakać, patrząc jak ich systemy są dewastowane przezransomware WannaCry. Dzięki exploitowi EternalBlue, biorącemu nacel luki w implementacji protokołu SMBv1, masowo zarażanopodróżnych podłączających się do otwartych sieci Wi-Fi, a gdywracali oni ze swoim laptopem do sieci firmowej, zarażali dalejwszystko co się da robakiem szyfrującym dane na dysku.

Microsoft oczywiście dawno już załatał podatności,wykorzystywane przez te upublicznione exploity NSA. Ale iledziałających na świecie systemów z rodziny Windows zostałodzięki temu uodpornionych? Zarówno pentesterzy, jak i skryptującedzieci będą mogli to łatwo sprawdzić. Do Metasploita można jużwgrać moduły o nazwach exploit/windows/smb/ms17_010_psexec orazauxiliary/admin/smb/ms17_010_command, które implementują kompletnyzestaw zdalnego atakowania i sterowania z exploitówEternalChampion/EternalSynergy i EternalRomance/EternalSynergy,mogący zaatakować każdy niezałatany system z kernelem Windows NT.

exploit/windows/smb/ms17_010_psexec and auxiliary/admin/smb/ms17_010_command are now surely two of the most vigorously tested modules in all of @Metasploit. Thanks to everyone who helped! Should land to master branch soon... pic.twitter.com/NKy8nopF9p

— z??osum0x0?? (@zerosum0x0) February 2, 2018Zastępują one dotychczasowy modułexploit/windows/smb/ms17_010_eternalblue i pozwalają wykonaćdowolne polecenie na zaatakowanym systemie z uprawnieniamiadministratora. Jak zapewnia autor, jego moduł exploitujący jestwysoce niezawodny i zaleca się jego stosowanie wszędzie tam, gdziemechanizm named pipe jest udostępniony do anonimowych loginów, np.w komputerach podłączonych do domeny i na wszystkich systemachsprzed ery Visty.

Wprowadzono tu kilka ulepszeń, względem oryginału NSA –zamiast od razu wykonywać shellcode, nadpisuje on strukturę sesjipołączeń SMB, aby uzyskać sesję Admin/SYSTEM. Sam moduł zostałodchudzony, sprawdza dostępność mechanizmu named pipes, tam gdziemożliwe stosuje dodatkową losowość i oferuje wygodny dostęp dointerfejsu Windows Service Control Managera.

Mamy nadzieję, że we wszystkich Waszych Windowsach podatnościCVE-2017-0143 i CVE-2017-0146 zostały załatane. Jeśli nie, jaknajszybciej należy skorzystać z łatkiKB4013389, opisanej w biuletynie MS17-010.

• Metasploit – repozytorium naGithubie(https://github.com/rapid7/metasploit-framework)
• Metasploit Unleashed – kurs Metasploita na łamach OffensiveSecurity(https://www.offensive-security.com/metasploit-unleashed/)
• nowy moduł ms17_010_psexec – informacja naTwitterze(https://twitter.com/zerosum0x0/status/959287820756987905)
• analiza exploitu Eternal Champion – blog naTechnecie(https://blogs.technet.microsoft.com/srd/2017/06/29/eternal-champion-exploit-analysis/)