Rain
Эксперт
- Статус
- offline
- Регистрация
- 30.07.2018
- Сообщения
- 529
- Репутация
- 433
Приветствую всех. Введу окончания поддержки вин 7. Начал изучать потенциальные проблемы, которые могут быть вызваны данным делом. Ну и так как в РУ нете, все и всегда хорошо, пошел к ребятам за бугор. И вот накопал не много инфы для вас.
Вечный синий:
Этот модуль является портом эксплойта Equation Group ETERNALBLUE, частью инструментария FuzzBunch, выпущенного Shadow Brokers. В Srv! SrvOs2FeaToNt есть операция memmove переполнения буфера. Размер вычисляется в Srv! SrvOs2FeaListSizeToNt с математической ошибкой, когда DWORD вычитается в WORD. Пул ядра подготовлен таким образом, что переполнение хорошо продуманно для перезаписи буфера SMBv1. Фактический захват RIP позже завершается в srvnet! SrvNetWskReceiveComplete. Этот эксплойт, как и оригинал, может не срабатывать 100% времени и должен выполняться непрерывно, пока не сработает. Похоже, что в бассейне начнутся горячие полосы, и потребуется период охлаждения, прежде чем снова начнутся дожди. Модуль попытается использовать анонимный вход по умолчанию для проверки подлинности для выполнения эксплойта. Если пользователь вводит учетные данные в SMBUser, SMBPass, и параметры SMBDomain он будет использовать вместо них. В некоторых системах этот модуль может вызвать нестабильность системы и сбой, например, BSOD или перезагрузка. Это может быть более вероятно с некоторыми полезными нагрузками.
Оригинал
Eternal Blue:
This module is a port of the Equation Group ETERNALBLUE exploit, part of the FuzzBunch toolkit released by Shadow Brokers. There is a buffer overflow memmove operation in Srv!SrvOs2FeaToNt. The size is calculated in Srv!SrvOs2FeaListSizeToNt, with mathematical error where a DWORD is subtracted into a WORD. The kernel pool is groomed so that overflow is well laid-out to overwrite an SMBv1 buffer. Actual RIP hijack is later completed in srvnet!SrvNetWskReceiveComplete. This exploit, like the original may not trigger 100% of the time, and should be run continuously until triggered. It seems like the pool will get hot streaks and need a cool down period before the shells rain in again. The module will attempt to use Anonymous login, by default, to authenticate to perform the exploit. If the user supplies credentials in the SMBUser, SMBPass, and SMBDomain options it will use those instead. On some systems, this module may cause system instability and crashes, such as a BSOD or a reboot. This may be more likely with some payloads.
А вот что выкатило НАСА по этому поводу:
Агентство национальной безопасности призывает администраторов и пользователей Microsoft Windows убедиться, что они используют исправленную и обновленную систему перед лицом растущих угроз. В недавних предупреждениях Microsoft подчеркивалась важность установки исправлений для устранения уязвимости протокола в старых версиях Windows. Microsoft предупредила, что этот недостаток потенциально «опасен», то есть может распространяться без взаимодействия с пользователем через Интернет. Мы видели, как разрушительные компьютерные черви наносят ущерб непатентованным системам с широкомасштабным воздействием, и мы стремимся повысить защиту от этого недостатка.
CVE-2019-0708, получивший название BlueKeep, является уязвимостью в протоколе удаленного рабочего стола (RDP). Он присутствует в Windows 7, Windows XP, Server 2003 и 2008, и хотя Microsoft выпустила исправление, потенциально миллионы компьютеров по-прежнему уязвимы.
Это тот тип уязвимости, который злоумышленники часто используют, используя программный код, специально предназначенный для этой уязвимости. Например, уязвимость может быть использована для проведения атак типа «отказ в обслуживании». Вероятно, лишь вопрос времени, когда код удаленной эксплуатации станет широко доступным для этой уязвимости. АНБ обеспокоено тем, что злонамеренные кибер-субъекты будут использовать уязвимость в вымогателях и эксплуатировать наборы, содержащие другие известные эксплойты, увеличивая возможности по отношению к другим не исправленным системам.
NSA призывает всех инвестировать время и ресурсы, чтобы узнать вашу сеть и использовать поддерживаемые операционные системы с последними исправлениями. Пожалуйста, обратитесь к нашей консультации для получения дополнительной информации. Это важно не только для защиты АНБ систем национальной безопасности, но и для всех сетей. Чтобы повысить устойчивость к этой угрозе, в то время как крупные сети исправляют и обновляют, можно принять дополнительные меры:
- Заблокируйте TCP-порт 3389 на своих брандмауэрах, особенно на любых брандмауэрах по периметру, доступных в Интернете. Этот порт используется в протоколе RDP и будет блокировать попытки установить соединение.
- Включить аутентификацию на уровне сети. Это улучшение безопасности требует от злоумышленников наличия действительных учетных данных для выполнения удаленной проверки подлинности кода.
- Отключите удаленные службы рабочего стола, если они не нужны. Отключение неиспользуемых и ненужных служб помогает снизить общую уязвимость безопасности и является оптимальной практикой даже без угрозы BlueKeep.
В теории, это уже пройденный этап, но не знаю как у вас, но ебучая 7ка сегодня выкатила на всех пк у меня предупреждение о переходе на 10ку, тем самым (в теории) сделав брешь, через которую потом и могут забуриться эксплойтом. В любом раскладе есть о чем подумать) То ли это просто инфа, что бы юзеров перетащить на 10ку, то ли реально могут быть проблемы. Всем хорошего дня:)
