Skanowanie sieci na podatność MS17-010 - Mon, May 22, 2017
MS17-010 vulnerability
Cel to przeskanowanie sieci w poszukiwaniu hostów podatnych na zdalne wykonanie kodu za pomocą błędu w protokole SMB1 opisanego w MS17-010. Podatność ta jest wykorzystywana np. przez popularny ostatnio ransomware WannaCry. Jest to jego dodatkowy wektor ataku, już po zarażeniu hosta skanuje sieci dostępne z niego w celu dalszej infekcji.
Do skanowania użyjemy programu Nmap w wersji 7.40.
Potrzebna będzie dodatkowy skrypt dostępny pod adresem: http://seclists.org/nmap-dev/2017/q2/79
Skrypt wgrywamy do katalogu skryptów Nmap, stosownie do naszego systemu operacyjnego.
Skanowanie wykonujemy poleceniem:
nmap -sC -p445 --open --max-hostgroup 3 --script smb-vuln-ms17-010.nse 10.0.0.0/8
Jako adres sieci podajemy właściwy dla tego, który chcemy przeskanować.
Wyniki skanowania.
Host z otwartym portem 445, ale nie wykazujący podatności:
Nmap scan report for 192.168.1.137
Host is up (0.00s latency).
PORT STATE SERVICE
445/tcp open microsoft-ds
MAC Address: 00:24:54:00:00:00 (Samsung Electronics)
Host script results:
|_smb-vuln-ms17-010: Could not connect to IPC$
Host z otwartym portem 445 podatny na zdalne wykonanie kodu:
Nmap scan report for 192.168.1.142
Host is up (0.00s latency).
PORT STATE SERVICE
445/tcp open microsoft-ds
MAC Address: 84:8F:69:00:00:00 (Dell)
Host script results:
| smb-vuln-ms17-010:
| VULNERABLE:
| Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
| State: VULNERABLE
| IDs: CVE:CVE-2017-0143
| Risk factor: HIGH
| A critical remote code execution vulnerability exists in Microsoft SMBv1
| servers (ms17-010).
|
| Disclosure date: 2017-03-14
| References:
| https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143
|_ https://technet.microsoft.com/en-us/library/security/ms17-010.aspx