Discussione La tua azienda ha ancora bisogno di Windows XP o Windows Server 2003 per far girare i software gestionali?

Stato
Discussione chiusa ad ulteriori risposte.

Netcat

Utente Jade
17 Gennaio 2022
456
129
335
691
Ultima modifica:
Se la risposta è affermativa, MS067-08 è un exploit che ti costerà un salasso prima o poi, connettiti a Microsoft Update Catalog e verifica di avere la patch.

L'impatto dell'exploit sul SMB di Windows XP e Windows Server 2003 è fatale, sfruttando un errore di parsing in NetAPI32.dll, bypassando NX e consentendo arbitrary code execution nel contesto di nt-authority system.

Compiendo un ultimo test contro un OS XP munito di Avast (ultimo AV che ancora supporta XP), l'attacco va a segno, bypassandolo. L'exploitation si conclude con un'istanza di svchost.exe corrotta dall'exploit, che andrà ad hostare arbitrary code.

Nel test effettuato personalmente (iniettando shellcode per Meterpreter come arbitrary code), l'exploit è apparentemente stabile, ma nel momento in cui si esce (o si "migra" in un nuovo processo), il SMB del target collassa totalmente, richiedendo un reboot per fruire nuovamente del servizio, ragion per cui non è possibile fare una stima degli OS effettivamente vulnerabili nel mondo. Testare l'exploit con una shell che si interfaccia semplicemente con il CMD di Windows, sembra ridurre il rischio di crash (dovuto sicuramente alla minor quantità di codice da iniettare), tuttavia, da parte di un cybercriminale, potete aspettarvi tranquillamente che l'arbitrary code sia un ransomware, o almeno una shell più "aggressiva", come appunto Meterpreter, dal momento che CMD.exe di Windows XP, non è un tipo di shell profittevole per i cybercriminali.

I vecchi OS di Microsoft sono notorialmente conosciuti per la loro "fragilità", rendendoli preda preferita di bambocci. Sfruttato l'exploit, se il codice iniettato è Meterpreter, si potrà compiere ogni sorta di operazione su questi sistemi datati, senza che l'attaccante possieda alcuna skill, dal momento che Meterpreter incorpora Mimikatz, un tool quasi del tutto inefficace sulle moderne versioni di Windows.
Operazioni offensive effettuate da Mimikatz sono facilmente risolvibili in Windows 10-11 (attraverso la funzione di password reset via e-mail, o sfruttando un PIN come metodo d'accesso alternativo, codice che Mimikatz non è in grado di leakare). Tuttavia, in XP la situazione non è la medesima: un cambio di password dell'amministratore risulta nel sabotaggio della copia di Windows. Questo difetto è causato dal fatto che inserire la password, è l'unico metodo di autenticazione disponibile in XP.

Sfruttare MS067-08 è così facile, che Rapid7 lo usa come mascotte di Metasploit, sfruttandolo in pubbliche spiegazioni su come far capire ai principianti le basi del framework (i comandi RHOSTS, LHOST e LPORT). Il problema, come mostra Shodan, Windows XP (identificato come Windows 5.1 in fase di recon), è presente in larga scala in tutto il pianeta, con una presenza massiccia sopratutto negli Stati Uniti, affiancato dal suo "fratello gemello", Windows Server 2003. In totale, oltre 1.000.000 di dispositivi che montano XP, e probabilmente ricchi di dati personali a rischio, mentre Rapid7 usa quest'exploit come referenza d'esempio.

Mentre per alcuni exploit più complessi come LogJam sono richieste condizioni di non facile comprensione ai bambocci (come la creazione di un valido LDAP listener) o semplicemente bypassare l'AV per MS17-010 (ormai bloccata da ogni AV) , per MS08-067 è necessario disporre un semplice router che supporti il port forwarding, o di qualsiasi servizio di port forwarding open source come Ngrok. Tutto il resto lo fa l'exploit da sé.

Ha fatto la sua storia, ma è ora di rassegnarsi al fatto che quest'OS sia "morto". Anche essere patchati contro MS08-067 o MS17-010 non mette Windows XP totalmente al sicuro. Il suo codice è stato leakato da tempo, mentre Microsoft ha cessato il roll-up di hotfix per la risoluzione delle vulnerabilità. In conseguenza a ciò, quando si parla di Windows XP nel 2023, si parla di un coltello il cui manico è dalla parte del cybercrimine. Vuoi un mio consiglio? Puoi usarlo se ne hai bisogno per alcune operazioni, ma cerca di tenerlo offline più tempo possibile, ed evita di usarlo per immagazzinare dati sensibili.
 
  • Mi piace
Reazioni: DjCanigia
Se la risposta è affermativa, MS067-08 è un exploit che ti costerà un salasso prima o poi, connettiti a Microsoft Update Catalog e verifica di avere la patch.

L'impatto dell'exploit sul SMB di Windows XP e Windows Server 2003 è fatale, sfruttando un errore di parsing in NetAPI32.dll, bypassando NX e consentendo arbitrary code execution nel contesto di nt-authority system.

Compiendo un ultimo test contro un OS XP munito di Avast (ultimo AV che ancora supporta XP), l'attacco va a segno, bypassandolo. L'exploitation si conclude con un'istanza di svchost.exe corrotta dall'exploit, che andrà ad hostare arbitrary code.

Nel test effettuato personalmente (iniettando shellcode per Meterpreter come arbitrary code), l'exploit è apparentemente stabile, ma nel momento in cui si esce (o si "migra" in un nuovo processo), il SMB del target collassa totalmente, richiedendo un reboot per fruire nuovamente del servizio, ragion per cui non è possibile fare una stima degli OS effettivamente vulnerabili nel mondo. Testare l'exploit con una shell che si interfaccia semplicemente con il CMD di Windows, sembra ridurre il rischio di crash (dovuto sicuramente alla minor quantità di codice da iniettare), tuttavia, da parte di un cybercriminale, potete aspettarvi tranquillamente che l'arbitrary code sia un ransomware, o almeno una shell più "aggressiva", come appunto Meterpreter, dal momento che CMD.exe di Windows XP, non è un tipo di shell profittevole per i cybercriminali.

I vecchi OS di Microsoft sono notorialmente conosciuti per la loro "fragilità", rendendoli preda preferita di bambocci. Sfruttato l'exploit, se il codice iniettato è Meterpreter, si potrà compiere ogni sorta di operazione su questi sistemi datati, senza che l'attaccante possieda alcuna skill, dal momento che Meterpreter incorpora Mimikatz, un tool quasi del tutto inefficace sulle moderne versioni di Windows.
Operazioni offensive effettuate da Mimikatz sono facilmente risolvibili in Windows 10-11 (attraverso la funzione di password reset via e-mail, o sfruttando un PIN come metodo d'accesso alternativo, codice che Mimikatz non è in grado di leakare). Tuttavia, in XP la situazione non è la medesima: un cambio di password dell'amministratore risulta nel sabotaggio della copia di Windows. Questo difetto è causato dal fatto che inserire la password, è l'unico metodo di autenticazione disponibile in XP.

Sfruttare MS067-08 è così facile, che Rapid7 lo usa come mascotte di Metasploit, sfruttandolo in pubbliche spiegazioni su come far capire ai principianti le basi del framework (i comandi RHOSTS, LHOST e LPORT). Il problema, come mostra Shodan, Windows XP (identificato come Windows 5.1 in fase di recon), è presente in larga scala in tutto il pianeta, con una presenza massiccia sopratutto negli Stati Uniti, affiancato dal suo "fratello gemello", Windows Server 2003. In totale, oltre 1.000.000 di dispositivi che montano XP, e probabilmente ricchi di dati personali a rischio, mentre Rapid7 usa quest'exploit come referenza d'esempio.

Mentre per alcuni exploit più complessi come LogJam sono richieste condizioni di non facile comprensione ai bambocci (come la creazione di un valido LDAP listener) o semplicemente bypassare l'AV per MS17-010 (ormai bloccata da ogni AV) , per MS08-067 è necessario disporre un semplice router che supporti il port forwarding, o di qualsiasi servizio di port forwarding open source come Ngrok. Tutto il resto lo fa l'exploit da sé.

Ha fatto la sua storia, ma è ora di rassegnarsi al fatto che quest'OS sia "morto". Anche essere patchati contro MS08-067 o MS17-010 non mette Windows XP totalmente al sicuro. Il suo codice è stato leakato da tempo, mentre Microsoft ha cessato il roll-up di hotfix per la risoluzione delle vulnerabilità. In conseguenza a ciò, quando si parla di Windows XP nel 2023, si parla di un coltello il cui manico è dalla parte del cybercrimine. Vuoi un mio consiglio? Puoi usarlo se ne hai bisogno per alcune operazioni, ma cerca di tenerlo offline più tempo possibile, ed evita di usarlo per immagazzinare dati sensibili.
Conosco aziende che hanno ancora PC con Windows 98 per fare girare dei software che utilizzano porte seriali collegate a macchine in produzione.
Per info una volta ho chiesto la motivazione di restare sulle vecchie tecnologie e ovviamente la risposta è stata che avrebbero dovuto spendere una cifra esagerata per acquistare e programmare un nuovo PLC compatibile con USB e sistemi operativi più recenti.. (parliamo di circa 150/200k dipende dalla funzione della macchina)
 
Windows 98 può essere hackerato solo se ci hai accesso fisico ormai lol
è così datato da non risultare più raggiungibile over wan. Qualsiasi cosa che viene prima di windows 2000 non va più in rete. Con alcuni hack tricks è ancora possibile connettere windows 2000 in rete (shodan ne leaka anche alcuni), ma windows 98 non esiste più
 
  • Mi piace
Reazioni: DjCanigia
Stato
Discussione chiusa ad ulteriori risposte.