Return to site

ESTEEMAUDIT projekt

2017-es írás

A Shadow Brokers csapat 2017 áprilisában elkezdett különböző NSA-től lopott, belső használatra szánt eszközöket pénzért eladogatni bárkinek. A lista hosszú és egyik vevője (feltehetőleg Észak-Korea) rászabadította a világra a WannaCry nevű zsarolóvírust mely rengeteg áldozatot szedett a 2017 márcuisban kiadott frissítésben nem részesült gépek körében. XP és Windows 2003 alatt a frissítés ugyancsak kijött, de a Microsoft üzletpolitikája alapján jó pénzért lehetett hozzájutni, így visszatartotta az ingyenes letöltési lehetőséget. Miután óriási vihart kavart a támadás ami nem kímélte a fontosabb szektorokat (pl.: egészségügy, bank, intézmények), kénytelen volt a Microsoft ingyenessé tenni mind a két elavult plattformra a frissítést.

A Microsoft frissítéssel az ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE és az ETERNALSYNERGY kódnevű sérülékenységek javítására került sor. A gond, az, hogy a Shadow Brokers által közzétett további sérülékenységek és eszközök között van még egy hasonlóan magaskockázatú eszköz, ami mint egy időzített bomba várja, hogy kihasználják.

Ez az ESTEEMAUDIT tool ami a FuzzBunch-ból használható. Minden Windows XP és Windows 2003 gépet érint amely Domain-ba van léptetve és a távoli asztal kapcsolat lehetővé teszi az Internetről való bejutást. A Smart Card olvasó szolgáltatás egyik hibája alapján (CVE-2017-9073) olyan csatornát lehet nyitni a gépre, amivel átvehető (pl.: reverse shell-el) az adott gép parancssoros üzemmódban SYSTEM szintű (tehát a legmagasabb) joggal.

Különböző scanner oldalak rengeteg gépet listáznak ki melyeken remote desktop fut és XP/2003 OS-el vannak kitéve a publikus Internetre. Így ezen gépek áldozatul eshet ennek.

Részletes leírás angol nyelven itt olvasható:

Egyéb írás a témával kapcsolatban:

Összefogaló az NSA toolokról:

Teljes tool/exploit lista:

 

A Microsoft majd/vagy már most is rendelkezik a frissítéssel, amit pénzér kínál az érintetteknek.

Akinek nincs pénze az egy egyszerű parancs kiadásával bezárhatja ezt a kiskaput:

regsvr32 /u gpkcsp.dll

Sajnos innentől már könnyen összerakható a WannaCry újabb változata, ami az Interneten felejtett/kitett domainbe léptetett és RDP-vel elérhető Windows XP és 2003-as gépeket is célba veszi (FuzzBunch segítségével), felhasználva a jelenlegi SMB sérülékenységet, vagy esetleg a most terjedő EternalRocks nevű férget juttatja be belső hálózatba (ami az ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE, ETERNALSYNERGY, SMBTOUCH, ARCHITOUCH NSA toolokat/sérülékenységeket használja).

Az ESTEEMAUDIT projekt keretében szeretném a cégeket informálni erről a sérülékenységről.

Sajnos a magán felhasználókat nem tudom informálni, mert az ISP (Internet szolgáltató) DHCP szegmensében nem lehet kideríteni kihez tartozik az adott IP.