MS17-010 vulnerability

Cel to przeskanowanie sieci w poszukiwaniu hostów podatnych na zdalne wykonanie kodu za pomocą błędu w protokole SMB1 opisanego w MS17-010. Podatność ta jest wykorzystywana np. przez popularny ostatnio ransomware WannaCry. Jest to jego dodatkowy wektor ataku, już po zarażeniu hosta skanuje sieci dostępne z niego w celu dalszej infekcji.

Do skanowania użyjemy programu Nmap w wersji 7.40.

Potrzebna będzie dodatkowy skrypt dostępny pod adresem: http://seclists.org/nmap-dev/2017/q2/79

Skrypt wgrywamy do katalogu skryptów Nmap, stosownie do naszego systemu operacyjnego.

Skanowanie wykonujemy poleceniem:

nmap -sC -p445 --open --max-hostgroup 3 --script smb-vuln-ms17-010.nse 10.0.0.0/8

Jako adres sieci podajemy właściwy dla tego, który chcemy przeskanować.

Wyniki skanowania.

Host z otwartym portem 445, ale nie wykazujący podatności:

Nmap scan report for 192.168.1.137
Host is up (0.00s latency).

PORT    STATE SERVICE
445/tcp open  microsoft-ds
MAC Address: 00:24:54:00:00:00 (Samsung Electronics)

Host script results:
|_smb-vuln-ms17-010: Could not connect to IPC$

Host z otwartym portem 445 podatny na zdalne wykonanie kodu:

Nmap scan report for 192.168.1.142
Host is up (0.00s latency).

PORT    STATE SERVICE
445/tcp open  microsoft-ds
MAC Address: 84:8F:69:00:00:00 (Dell)

Host script results:
| smb-vuln-ms17-010: 
|   VULNERABLE:
|   Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
|     State: VULNERABLE
|     IDs:  CVE:CVE-2017-0143
|     Risk factor: HIGH
|       A critical remote code execution vulnerability exists in Microsoft SMBv1
|        servers (ms17-010).
|       
|     Disclosure date: 2017-03-14
|     References:
|       https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143
|_      https://technet.microsoft.com/en-us/library/security/ms17-010.aspx