Exploitation de la vulnérabilité EternalBlue

Cette faille affecte les machines Windows exécutant SMB. La vulnérabilité permet à un attaquant d’exécuter un code malveillant à distance. L’exploit cible une vulnérabilité dans l’implémentation du protocole Server Message Bloc (SMB) de Microsoft, par l’intermédiaire du port 445.

Prérequis du LAB :

1 serveur Windows non patché dont le service SMB est activé

1 PC sous Kali linux disposant de metasploit

Pour les besoins du LAB, on imagine que l’on a récupéré des identifiants d’un utilisateur pouvant accéder au partage du serveur, soit par social engineering, soit en récupérant la table SAM présente sur une machine préalablement attaquée.

Déroulement :

On commence par créer un utilisateur non administrateur sur le serveur.

Depuis la machine attaquante, on lance un nmap afin de découvrir les ports ouverts sur le serveur.

La machine étant vierge de configuration aucun port n’est ouvert.

On créé alors un partage réseau sur le serveur ouvert à tout le monde en contrôle total. On va pour cela dans partage avancé dans l’onglet partage des propriétés.

On peut désormais se connecter au partage via une machine cliente.

Un nouveau Nmap sur kali nous permet de voir que de nouveaux ports sont ouverts suite à ce partage.

Toujours sur la machine Kali, on lance le service postgresql et msfconsole.

Une fois la console Metasploit ouverte, on va alors taper la commande use exploit/windows/smb/ms17_010_psexec afin de lancer l’exploit d’exécution de code à distance.

On va ensuite renseigner certains paramètres :

« Set rhost @iptarget » afin de déterminer la cible

Set lhost et lport afin de déterminer la machine attaquante ainsi que son port d’écoute

Set smbuser et smbpass pour les identifiants de connexion

Set payload pour lancer la charge qui nous permettra d’executer notre code à distance

On lance ensuite notre exploit avec la commande exploit.

La session va alors s’établir et on va obtenir une console meterpreter afin d’envoyer nos commandes à la machine.

Ici une simple commande ipconfig nous permet de récupérer les informations des configurations réseau de la machine.

Solution d’évitement :

Un correctif a depuis été apporté aux produits Microsoft, il suffit de l’appliquer pour ne plus être vulnérable à ce type d’attaques. Le KB correspondant au correctif est KB4012598

On constate qu’une fois à jour l’attaque n’aboutit plus.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

code