BlueKeep – CVE-2019-0708 – Windows Server

PentaTesty, Usługi Komentarze (0) »

Po sieci panoszą się już robaki, które wykorzystując tą podatność budują botnety złożone z serwerów Windows.

Oczywiście robaki te szukają maszyn z wystawionym RDP na zewnątrz, wbrew logice jest takich maszyn bardzo dużo.

A co jeśli ktoś uzyska dostęp do naszej np. drukarki? Opisywałem jak z drukarki dostać się do sieci wewnętrznej naszej instytucji.

Oczywiście w ten sposób dostanie się na podatne serwery Windows w naszej sieci.

 

Najprostszy i najszybszy sposób na znalezienie otwartych RDP w naszej sieci:

nmap 192.168.1.0/24 -p 3389 –open

 

Poniżej listing jak sprawdzić przy pomocy Metasploit czy nasze maszyny są podatne.

 

msf5 > search BlueKeep

Matching Modules
================

# Name Disclosure Date Rank Check Description
- ---- --------------- ---- ----- -----------
0 auxiliary/scanner/rdp/cve_2019_0708_bluekeep 2019-05-14 normal Yes CVE-2019-0708 BlueKeep Microsoft Remote Desktop RCE Check


msf5 > use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > show options

Module options (auxiliary/scanner/rdp/cve_2019_0708_bluekeep):

Name Current Setting Required Description
---- --------------- -------- -----------
RDP_CLIENT_IP 192.168.0.100 yes The client IPv4 address to report during connect
RDP_CLIENT_NAME rdesktop no The client computer name to report during connect, UNSET = random
RDP_DOMAIN no The client domain name to report during connect
RDP_USER no The username to report during connect, UNSET = random
RHOSTS yes The target address range or CIDR identifier
RPORT 3389 yes The target port (TCP)
THREADS 1 yes The number of concurrent threads


Auxiliary action:

Name Description
---- -----------
Scan Scan for exploitable targets


msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set rhosts 192.168.1.82
rhosts => 192.168.1.82
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > run

[*] 192.168.1.82:3389 - The target service is running, but could not be validated.
[*] 192.168.1.82:3389 - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set rhosts 192.168.1.248
rhosts => 192.168.1.248
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > run

[+] 192.168.1.248:3389 - The target is vulnerable.
[*] 192.168.1.248:3389 - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) >

Drukarki – „jakie to ma znaczenie w bezpieczeństwie sieci”

PentaTesty Komentarze (0) »

Tytuł taki zadziorny 😉

W każdej sieci korporacyjnej mamy sporo drukarek sieciowych, czasem nawet nie wiemy ile i gdzie.

Podpinamy, dołączamy stanowiska komputerowe i zapominamy.

Bardzo często robi to za nas firma zewnętrzna,  obsługująca nam systemy wydruku.

Zaraz przedstawię atak na drukarkę i wyjaśnię dlaczego jest to krytycznie niebezpieczna część sieci.

Na początek na konsoli Linux ( polecam mieć virtualkę z Kali Linux ) zainstalujemy jedno z wielu narzędzi służące do  testów bezpieczeństwa drukarek.

pip install colorama pysnmp 
pip install win_unicode_console 
apt-get install imagemagick ghostscript 
git clone https://github.com/RUB-NDS/PRET 
cd PRET 
./pret.py 192.168.1.136 pcl

ten adres IP to rzeczywiste urządzenie w jednym ze szpitali, które obsługuje. Urządzenie firmy obsługującej systemy wydruku w szpitalu.

Co widzimy? Otrzymujemy powłokę która umożliwia penetrację urządzenia! Żadnych haseł, modeli , szukania itp. starczy adres IP! Co może teraz wykonać osoba, która w ten sposób zaatakowała urządzenie? Wiele, ale zauważcie polecenie PUT, które umożliwia załadowanie statycznej binarki. Taka binarka to może być skaner sieci, malware, sniffer czy exploit na inne urządzenia w sieci.

Często sieć szpitala jest bardzo mądrze posegmentowana, ale drukarki maja dostęp do każdego segmentu, bo tak prościej … w ten sposób atakujący opuszcza vlan do którego się dostał.

Jak się zabezpieczać:

  • aktualizacje oprogramowania ( problemem może być drukarka wynajęta, ale o tym potem )
  • segmentacja sieci ( da się to ogarnąć, proponuję dyskusję w komentarzach )
  • odcięcie drukarki od internetu – całkowite!
  • użycie adresu publicznego – wersja dla psychopatów 😉

 

Jak zmusić firmę zewnętrzną aby dbała o aktualizację oprogramowania? Wyjaśnić że mając taki dostęp do urządzenia, ktoś złośliwy w niecnych celach może zmienić stan licznika 😉 Jesteśmy pełni obaw ….

 

RouterScan – Skaner urządzeń w sieci

PentaTesty Komentarze (0) »

Skaner urządzeń w sieci. Znajduje urządzenia w zdefiniowanej sieci, po wykryciu maszyny uruchamia swoja bazę exploitów w celu podania danych logowania, danych sieci itp. narzędzie całkiem sprawne.

Niemniej jednak jak już wykryje Wam urządzenia, a wykryje Warto przeprowadzić test przy pomocy routersploit. Zwykle jeszcze więcej możliwości penetracji urządzenia otrzymacie. Jak pracować z routersploit opisze potem.

Domyślne porty są ok, ale warto dodać 81,8080,8081 i wedle uznania tak podpowiem że warto dodać port vpn. Można się zdziwić.

aha … skąd pobrać? Wersja na windows, która ładnie działa też na wine http://stascorp.com/load/1-1-0-56

Zachęcam do sprawdzenia SWOJEJ sieci!

Pamiętajcie aby tego typu narzędzie uruchamiać na maszynach wirtualnych z wyciętym dostępem do internetu! TCP i UDP to podstawa, warto też pamiętać aby wyciąć wychodzące ICMP a DNS tylko z ruchem do swoich hostów. Tunelowanie …. wycinajcie.

 

WordPress - Hosting: Twój hosting - Skórka: N.Design Studio - Spolszczenie: Adam Klimowski.
RSS wpisów RSS komentarzy Zaloguj się