NSA被泄黑客工具被改良 适用于Windows 2000之后的所有版本

以前被 Shadow Broker 影子经纪人 泄露过的三个NSA漏洞近期被作出修改,现在可以攻击Windows 2000到Server 2016的所有标准和工作站版本。Github已经公开了相关资料。

在此之前,EternalSynergy永恒协作、EternalRomance永恒浪漫和EternalChampion永恒冠军曾被用于 NotPetya网络攻击。然而,它们并没有和 EternalBlue 一样被恶意行为者所使用,因为它们无法在最新的Windows版本上使用。现在,风险感知安全研究人员Sean Dillon(又名@ zerosum0x0)已经改变了这一点,他将Microsoft服务器消息块 SMB漏洞 移植到了过去18年来发布的所有Windows版本上。

研究员开发了NSA漏洞利用工具 并发布了免责声明

真是糟心的无事生非, 狄龙的免责声明警告说:

这个软件纯粹是为了学术研究和开发有效的防御技术的目的而创建的,除非明确授权,否则不打算用于攻击系统。 作者和项目维护者不对软件的滥用负责。

MS17-010 #EternalSynergy #EternalRomance #EternalChampion漏洞利用和@ Metasploit 辅助模块。支持Windows 2000到2016。我基本在@sleepya_ zzz_exploit上狂奔了MSF psexec。https://t.co/UnGA1u4gWe pic.twitter.com/Y9SMFJguH1

- zǝɹosum0x0?(@ zerosum0x0)2018年1月29日

这些漏洞的“新的和改进的”版本,被移植到Metasploit框架中。

EternalSynergy永恒协作、EternalRomance永恒浪漫和EternalChampion永恒冠军工作原理

Tripwire 解释说:

“每个修改后的漏洞利用远程命令和代码执行模块,依靠zzz_exploit改编,因为它们利用SMB连接会话结构来获得Admin / SYSTEM访问权限。与EternalBlue不同的是,EternalSynergy、EternalRomance和EternalChampion不使用内核shellcode来载入Meterpreter。 有人仍然可以登台Meterpreter,这是Metasploit 渗透测试 软件附带的一个有效Payload,但他们可能需要逃避它们的有效Payload。

虽然这并不意味着这是EternalBlue的终点,但Dillon指出:

与EternalBlue相比 , 这个模块是 非常可靠和优先的,在 这个模块中 ,匿名登录(通常是Vista以前的所有东西,对于野外的域计算机都比较常见)是可以访问的。

  • CVE-2017-0146 (EternalChampion / EternalSynergy) - 利用事务请求利用竞争条件
  • CVE-2017-0143 (EternalRomance / EternalSynergy) - 利用WriteAndX和Transaction请求之间的类型混淆

安全研究员凯文·博蒙特(Kevin Beaumont)试用了这个软件,并补充说它是可靠的,不会像EternalBlue那样造成蓝屏死机。

重要的一点:SMB漏洞利用(在MS17-010 +中修复)现在移植到Windows 2000直到Windows Server 2016,以及两者之间的所有版本。非常 可靠,不会像EternalBlue一样造成蓝屏。 我已经尝试了Win2000和XP。https://t.co/EZ96eFsV5C

- Kevin Beaumont(@GossiTheDog)2018年1月29日

根据Heimdal Security的说法,攻击者不会将shellcode注入到目标系统中,而是控制它,攻击者将尝试覆盖SMB(服务器消息块)连接会话结构,以获得对系统的管理权限。

Dillon补充说:

“与EternalBlue不同的是,exploit模块将会下载到磁盘(或使用PowerShell命令)”。

在短短几天的时间里,新修改的漏洞成为Metasploit最受欢迎的两个测试模块。

exploit / windows / smb / ms17_010_psexec和/admin/admin/smb/ms17_010_command现在肯定是@Metasploit中所有测试最严格的模块之一。 感谢所有帮助过的人! 应尽快登陆掌握分支... pic.twitter.com/NKy8nopF9p

- zǝɹosum0x0?(@ zerosum0x0)2018年2月2日

Heimdal Security写道:

“值得一提的是,这些攻击可能具有自我复制的能力,能够快速传播并影响大量机器,所以我们敦促您应用所有可用的软件补丁。”

微软在2017年三月就发布了补丁,如果您还没有部署,现在请立刻安装。

三个漏洞可以攻击的Windows版本

重新开发的NSA漏洞利用工具可以在2000年以后发布的所有Windows的未打补丁的版本(32位和64位体系结构)上工作,如下是可以利用的Windows版本列表:

  • Windows 2000 SP0 x86
  • Windows 2000 Professional SP4 x86
  • Windows 2000 Advanced Server SP4 x86
  • Windows XP SP0 x86
  • Windows XP SP1 x86
  • Windows XP SP2 x86
  • Windows XP SP3 x86
  • Windows XP SP2 x64
  • Windows Server 2003 SP0 x86
  • Windows Server 2003 SP1 x86
  • Windows Server 2003企业版SP 2 x86
  • Windows Server 2003 SP1 x64
  • Windows Server 2003 R2 SP1 x86
  • Windows Server 2003 R2 SP2 x86
  • Windows Vista家庭高级版x86
  • Windows Vista x64
  • Windows Server 2008 SP1 x86
  • Windows Server 2008 x64
  • Windows 7 x86
  • Windows 7旗舰版SP1 x86
  • Windows 7企业版SP1 x86
  • Windows 7 SP0 x64
  • Windows 7 SP1 x64
  • Windows Server 2008 R2 x64
  • Windows Server 2008 R2 SP1 x64
  • Windows 8 x86
  • Windows 8 x64
  • Windows Server 2012 x64
  • Windows 8.1企业评估版9600 x86
  • Windows 8.1 SP1 x86
  • Windows 8.1 x64
  • Windows 8.1 SP1 x64
  • Windows Server 2012 R2 x86
  • Windows Server 2012 R2 Standard 9600 x64
  • Windows Server 2012 R2 SP1 x64
  • Windows 10 Enterprise 10.10240 x86
  • Windows 10企业版10.10240 x64
  • Windows 10 10.10586 x86
  • Windows 10 10.10586 x64
  • Windows Server 2016 10.10586 x64
  • Windows 10 10.0.14393 x86
  • Windows 10企业版评估10.14393 x64
  • Windows Server 2016数据中心版本10.14393 x64

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

2

相关文章

发表评论

电子邮件地址不会被公开。