A Shadow Brokers csapat 2017 áprilisában elkezdett különböző NSA-től lopott, belső használatra szánt eszközöket pénzért eladogatni bárkinek. A lista hosszú és egyik vevője (feltehetőleg Észak-Korea) rászabadította a világra a WannaCry nevű zsarolóvírust mely rengeteg áldozatot szedett a 2017 márcuisban kiadott frissítésben nem részesült gépek körében. XP és Windows 2003 alatt a frissítés ugyancsak kijött, de a Microsoft üzletpolitikája alapján jó pénzért lehetett hozzájutni, így visszatartotta az ingyenes letöltési lehetőséget. Miután óriási vihart kavart a támadás ami nem kímélte a fontosabb szektorokat (pl.: egészségügy, bank, intézmények), kénytelen volt a Microsoft ingyenessé tenni mind a két elavult plattformra a frissítést.

A Microsoft frissítéssel az ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE és az ETERNALSYNERGY kódnevű sérülékenységek javítására került sor. A gond, az, hogy a Shadow Brokers által közzétett további sérülékenységek és eszközök között van még egy hasonlóan magaskockázatú eszköz, ami mint egy időzített bomba várja, hogy kihasználják.

Ez az ESTEEMAUDIT tool ami a FuzzBunch-ból használható. Minden Windows XP és Windows 2003 gépet érint amely Domain-ba van léptetve és a távoli asztal kapcsolat lehetővé teszi az Internetről való bejutást. A Smart Card olvasó szolgáltatás egyik hibája alapján (CVE-2017-9073) olyan csatornát lehet nyitni a gépre, amivel átvehető (pl.: reverse shell-el) az adott gép parancssoros üzemmódban SYSTEM szintű (tehát a legmagasabb) joggal.

Különböző scanner oldalak rengeteg gépet listáznak ki melyeken remote desktop fut és XP/2003 OS-el vannak kitéve a publikus Internetre. Így ezen gépek áldozatul eshet ennek.

Részletes leírás angol nyelven itt olvasható:

https://blog.fortinet.com/2017/05/11/deep-analysis-of-esteemaudit

Egyéb írás a témával kapcsolatban:

http://www.darkreading.com/vulnerabilities---threats/-ensilo-launches-independent-patch-for-esteemaudit-rdp-exploit/d/d-id/1328955

http://www.dailymail.co.uk/news/article-4509428/Hackers-adapted-NSA-cyber-weapon-EsteemAudit.html

Összefogaló az NSA toolokról:

https://blog.barkly.com/preventing-next-wannacry-ransomware-infection?utm_source=hs_email&utm_medium=email&utm_content=52298885&_hsenc=p2ANqtz-_gNu5p-E4NDV90zKgK200xLQHJyL5whp0HDqsXZ-GgLwePySvlPsRq4Zd8mf11tqCLoq4c-jeUmtAAUEckqL4CCbl7ug&_hsmi=52298885

Teljes tool/exploit lista:

https://docs.google.com/spreadsheets/d/1JxoRcXrgTqfbw18JigRSl6hX3VYON_moPjnm8AolqLc/edit#gid=0

A Microsoft majd/vagy már most is rendelkezik a frissítéssel, amit pénzér kínál az érintetteknek.

Akinek nincs pénze az egy egyszerű parancs kiadásával bezárhatja ezt a kiskaput:

regsvr32 /u gpkcsp.dll

Sajnos innentől már könnyen összerakható a WannaCry újabb változata, ami az Interneten felejtett/kitett domainbe léptetett és RDP-vel elérhető Windows XP és 2003-as gépeket is célba veszi (FuzzBunch segítségével), felhasználva a jelenlegi SMB sérülékenységet, vagy esetleg a most terjedő EternalRocks nevű férget juttatja be belső hálózatba (ami az ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE, ETERNALSYNERGY, SMBTOUCH, ARCHITOUCH NSA toolokat/sérülékenységeket használja).

Az ESTEEMAUDIT projekt keretében szeretném a cégeket informálni erről a sérülékenységről.

Sajnos a magán felhasználókat nem tudom informálni, mert az ISP (Internet szolgáltató) DHCP szegmensében nem lehet kideríteni kihez tartozik az adott IP.