Ultima modifica:
Se la risposta è affermativa, MS067-08 è un exploit che ti costerà un salasso prima o poi, connettiti a Microsoft Update Catalog e verifica di avere la patch.
L'impatto dell'exploit sul SMB di Windows XP e Windows Server 2003 è fatale, sfruttando un errore di parsing in NetAPI32.dll, bypassando NX e consentendo arbitrary code execution nel contesto di
Compiendo un ultimo test contro un OS XP munito di Avast (ultimo AV che ancora supporta XP), l'attacco va a segno, bypassandolo. L'exploitation si conclude con un'istanza di
Nel test effettuato personalmente (iniettando shellcode per Meterpreter come arbitrary code), l'exploit è apparentemente stabile, ma nel momento in cui si esce (o si "migra" in un nuovo processo), il SMB del target collassa totalmente, richiedendo un reboot per fruire nuovamente del servizio, ragion per cui non è possibile fare una stima degli OS effettivamente vulnerabili nel mondo. Testare l'exploit con una shell che si interfaccia semplicemente con il CMD di Windows, sembra ridurre il rischio di crash (dovuto sicuramente alla minor quantità di codice da iniettare), tuttavia, da parte di un cybercriminale, potete aspettarvi tranquillamente che l'arbitrary code sia un ransomware, o almeno una shell più "aggressiva", come appunto Meterpreter, dal momento che CMD.exe di Windows XP, non è un tipo di shell profittevole per i cybercriminali.
I vecchi OS di Microsoft sono notorialmente conosciuti per la loro "fragilità", rendendoli preda preferita di bambocci. Sfruttato l'exploit, se il codice iniettato è Meterpreter, si potrà compiere ogni sorta di operazione su questi sistemi datati, senza che l'attaccante possieda alcuna skill, dal momento che Meterpreter incorpora Mimikatz, un tool quasi del tutto inefficace sulle moderne versioni di Windows.
Operazioni offensive effettuate da Mimikatz sono facilmente risolvibili in Windows 10-11 (attraverso la funzione di password reset via e-mail, o sfruttando un PIN come metodo d'accesso alternativo, codice che Mimikatz non è in grado di leakare). Tuttavia, in XP la situazione non è la medesima: un cambio di password dell'amministratore risulta nel sabotaggio della copia di Windows. Questo difetto è causato dal fatto che inserire la password, è l'unico metodo di autenticazione disponibile in XP.
Sfruttare MS067-08 è così facile, che Rapid7 lo usa come mascotte di Metasploit, sfruttandolo in pubbliche spiegazioni su come far capire ai principianti le basi del framework (i comandi RHOSTS, LHOST e LPORT). Il problema, come mostra Shodan, Windows XP (identificato come Windows 5.1 in fase di recon), è presente in larga scala in tutto il pianeta, con una presenza massiccia sopratutto negli Stati Uniti, affiancato dal suo "fratello gemello", Windows Server 2003. In totale, oltre 1.000.000 di dispositivi che montano XP, e probabilmente ricchi di dati personali a rischio, mentre Rapid7 usa quest'exploit come referenza d'esempio.
Mentre per alcuni exploit più complessi come LogJam sono richieste condizioni di non facile comprensione ai bambocci (come la creazione di un valido LDAP listener) o semplicemente bypassare l'AV per MS17-010 (ormai bloccata da ogni AV) , per MS08-067 è necessario disporre un semplice router che supporti il port forwarding, o di qualsiasi servizio di port forwarding open source come Ngrok. Tutto il resto lo fa l'exploit da sé.
Ha fatto la sua storia, ma è ora di rassegnarsi al fatto che quest'OS sia "morto". Anche essere patchati contro MS08-067 o MS17-010 non mette Windows XP totalmente al sicuro. Il suo codice è stato leakato da tempo, mentre Microsoft ha cessato il roll-up di hotfix per la risoluzione delle vulnerabilità. In conseguenza a ciò, quando si parla di Windows XP nel 2023, si parla di un coltello il cui manico è dalla parte del cybercrimine. Vuoi un mio consiglio? Puoi usarlo se ne hai bisogno per alcune operazioni, ma cerca di tenerlo offline più tempo possibile, ed evita di usarlo per immagazzinare dati sensibili.
L'impatto dell'exploit sul SMB di Windows XP e Windows Server 2003 è fatale, sfruttando un errore di parsing in NetAPI32.dll, bypassando NX e consentendo arbitrary code execution nel contesto di
nt-authority system.Compiendo un ultimo test contro un OS XP munito di Avast (ultimo AV che ancora supporta XP), l'attacco va a segno, bypassandolo. L'exploitation si conclude con un'istanza di
svchost.exe corrotta dall'exploit, che andrà ad hostare arbitrary code.Nel test effettuato personalmente (iniettando shellcode per Meterpreter come arbitrary code), l'exploit è apparentemente stabile, ma nel momento in cui si esce (o si "migra" in un nuovo processo), il SMB del target collassa totalmente, richiedendo un reboot per fruire nuovamente del servizio, ragion per cui non è possibile fare una stima degli OS effettivamente vulnerabili nel mondo. Testare l'exploit con una shell che si interfaccia semplicemente con il CMD di Windows, sembra ridurre il rischio di crash (dovuto sicuramente alla minor quantità di codice da iniettare), tuttavia, da parte di un cybercriminale, potete aspettarvi tranquillamente che l'arbitrary code sia un ransomware, o almeno una shell più "aggressiva", come appunto Meterpreter, dal momento che CMD.exe di Windows XP, non è un tipo di shell profittevole per i cybercriminali.
I vecchi OS di Microsoft sono notorialmente conosciuti per la loro "fragilità", rendendoli preda preferita di bambocci. Sfruttato l'exploit, se il codice iniettato è Meterpreter, si potrà compiere ogni sorta di operazione su questi sistemi datati, senza che l'attaccante possieda alcuna skill, dal momento che Meterpreter incorpora Mimikatz, un tool quasi del tutto inefficace sulle moderne versioni di Windows.
Operazioni offensive effettuate da Mimikatz sono facilmente risolvibili in Windows 10-11 (attraverso la funzione di password reset via e-mail, o sfruttando un PIN come metodo d'accesso alternativo, codice che Mimikatz non è in grado di leakare). Tuttavia, in XP la situazione non è la medesima: un cambio di password dell'amministratore risulta nel sabotaggio della copia di Windows. Questo difetto è causato dal fatto che inserire la password, è l'unico metodo di autenticazione disponibile in XP.
Sfruttare MS067-08 è così facile, che Rapid7 lo usa come mascotte di Metasploit, sfruttandolo in pubbliche spiegazioni su come far capire ai principianti le basi del framework (i comandi RHOSTS, LHOST e LPORT). Il problema, come mostra Shodan, Windows XP (identificato come Windows 5.1 in fase di recon), è presente in larga scala in tutto il pianeta, con una presenza massiccia sopratutto negli Stati Uniti, affiancato dal suo "fratello gemello", Windows Server 2003. In totale, oltre 1.000.000 di dispositivi che montano XP, e probabilmente ricchi di dati personali a rischio, mentre Rapid7 usa quest'exploit come referenza d'esempio.
Mentre per alcuni exploit più complessi come LogJam sono richieste condizioni di non facile comprensione ai bambocci (come la creazione di un valido LDAP listener) o semplicemente bypassare l'AV per MS17-010 (ormai bloccata da ogni AV) , per MS08-067 è necessario disporre un semplice router che supporti il port forwarding, o di qualsiasi servizio di port forwarding open source come Ngrok. Tutto il resto lo fa l'exploit da sé.
Ha fatto la sua storia, ma è ora di rassegnarsi al fatto che quest'OS sia "morto". Anche essere patchati contro MS08-067 o MS17-010 non mette Windows XP totalmente al sicuro. Il suo codice è stato leakato da tempo, mentre Microsoft ha cessato il roll-up di hotfix per la risoluzione delle vulnerabilità. In conseguenza a ciò, quando si parla di Windows XP nel 2023, si parla di un coltello il cui manico è dalla parte del cybercrimine. Vuoi un mio consiglio? Puoi usarlo se ne hai bisogno per alcune operazioni, ma cerca di tenerlo offline più tempo possibile, ed evita di usarlo per immagazzinare dati sensibili.
