Discussione Eternal Blue è ancora pericoloso nel 2022?

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
N

Netcat

Utente Jade
17 Gennaio 2022
451
128
331
691
Incredibile ma vero, nel 2022, nonostante ormai la maggior parte dei dispositivi nel mondo siano protetti, esistono ancora persone che rischiano di essere attaccate da quest'exploit. Microsoft ha pinnato un articolo in prima pagina su Google, da dove è possibile reperire KB4013389 (MS17-010). Nonostante il livello di severità sia etichettato come Critical, ci sono alcuni network di enti pubblici (scuole, negozi ecc.) che rischiano di essere hackerati in stile Mr. Robot grazie a quest'exploit (ridicolo). Eternal Blue è particolarmente pericoloso perché non richiede social engineering. Tutto quello che deve fare l'attaccante per sfruttare quest'exploit, è inviare uno script in forma di pacchetti TCP/HTTP(S) al SMB (v1) - (Server Message Block) - che contiene codice arbitrario, e se questo SMB non è protetto da KB4013389, eseguirà come uno schiavo qualsiasi cosa l'attaccante desidera. Quest'exploit è stato usato per inviare ransomware, spyware o altre schifezze, ma SMBv1 se è vulnerabile a eternal blue può davvero eseguire qualsiasi messaggio contenuto nei pacchetti, anche Hello World. Ditemi voi se c'è un motivo per cui Microsoft ha fatto pinnare il thread di KB4013389 in prima pagina su Google. Gli enti pubblici dovrebbero essere i primi a dover prendere contromisure contro quest'attacco, ma a quanto pare sembra che abbia più sicurezza io che sono con Windows Update disabilitato da marzo 2021 e senza AV, piuttosto che molti enti pubblici. Nella maggior parte di queste strutture si utilizzano ancora sistemi datati come Windows 7 o addirittura XP, la sicurezza è delegata spesso a un firewall da quattro soldi... E come se non bastasse, quest'exploit è open source, lo può lanciare chiunque. Questo thread ha un impatto davvero minimo sull'Informazione, perché quest'exploit è noto in tutto il mondo da anni, i pizzaioli che non sanno nulla di informatica si riferiscono a quest'exploit come "il virus che chiede i soldi", dato che è stato impiegato su scala mondiale per lanciare WannaCry, Petya. Tuttavia, esistono ancora dispositivi vulnerabili.
 
  • Mi piace
Reazioni: DanyDollaro
È vero ci sono ancora dispositivi vulnerabili, c'è anche da considerare che la maggior parte degli AV conosce la falla fin troppo bene quindi nella pratica non funzionerebbe comunque. Quindi i vulnerabili sono ancora meno ma ci sono.

Una precisazione è che SMB usa TCP, non http e non puoi mandare qualunque script o programma in quanto lo shellcode eseguito dalla vulnerabilità gira in contesto kernel, sarà quest'ultimo ad eseguire programmi aggiuntivi come user.
 
  • Mi piace
Reazioni: DanyDollaro e Netcat
JunkCoder ha detto:
È vero ci sono ancora dispositivi vulnerabili, c'è anche da considerare che la maggior parte degli AV conosce la falla fin troppo bene quindi nella pratica non funzionerebbe comunque. Quindi i vulnerabili sono ancora meno ma ci sono.

Una precisazione è che SMB usa TCP, non http e non puoi mandare qualunque script o programma in quanto lo shellcode eseguito dalla vulnerabilità gira in contesto kernel, sarà quest'ultimo ad eseguire programmi aggiuntivi come user.
Clicca per espandere...
Confermo, SMB è sulle porte 445 e 139. Sorry.
Non ho fatto esperimenti con quest'exploit perché è davvero vecchio, grazie comunque delle precisazioni.
 
Stato
Discussione chiusa ad ulteriori risposte.

DISCUSSIONI SIMILI

N
Discussione Gli errori più comuni che facilitano la strada agli hacker (Unix/Windows)
  • Chiuso
  • 3
  • 384
3
384
Sicurezza Informatica
Netcat
0
Discussione Ufficiale I migliori password manager per il 2024
  • In evidenza
  • 35
  • 3K
35
3K
Privacy Online e Anonimato
ne0h
Top Bottom
Indietro