انتقال ابزارهای نفوذ وابسته به آژانس امنیت ملی به چارچوب Metasploit

۳ ابزار نفوذ که ظاهراً سال گذشته از گروه Equation وابسته به آژانس امنیت ملی به سرقت رفته و منتشر شده است، به تازگی به چارچوب Metasploit Rapid7 انتقال یافته است.

 

این ۳ بهره‌برداری EternalSynergy، EernalRomance و EternalChampion به همراه EternalBlue محبوب، ۲ ماه پس از این‌که مایکروسافت آن‌ها را وصله کرد، در ماه آوریل سال ۲۰۱۷ میلادی به صورت عمومی منتشر شدند.

این ابزارها قبلاً فقط در چند نسخه‌ي قدیمی‌تر ویندوز مورد استفاده قرار می‌گرفتند، هر چند EternalSynergy بعدها اصلاح شده بود تا نسخه‌های جدیدتر ویندوز را نیز هدف قرار دهد. سال گذشته، EernalRomance در حمله‌ی جهانی باج‌افزار خرگوش بد مورد استفاده قرار گرفت.

یک پژوهش‌گر امنیتی از RiskSense اظهار کرد که در حال حاضر هر یک از این ۳ بهره‌برداری‌ها می‌تواند برای هدف قرار دادن تمام نسخه‌های ویندوز، از ویندوز ۲۰۰۰ تا نسخه‌های جدیدتر مورد استفاده قرار گیرد. این پژوهش‌گر این بهره‌برداری‌ها را اصلاح کرد و آن‌ها را در چارچوب متن‌باز Metasploit ادغام کرد.

 

این ۳ ابزار بهره‌برداری، ۲ آسیب‌پذیری موجود در بستر مایکروسافت را هدف قرار می‌دهند، آسیب‌پذیری CVE-2017-0146، که ایجاد شرایط مسابقه‌ای در درخواست‌های تراکنش بود توسط EternalSynergy و EternalChampion و آسیب‌پذیری CVE-2017-0143 که یک نوع سردرگمی بین WriteAndX و درخواست‌های تراکنش بود، توسط EernalRomance و EternalSynergy مورد بهره‌برداری قرار گرفت.

این پژوهش‌گر تشریح می‌کند که این مؤلفه از شِل‌کد هسته برای نمایش Meterpreter استفاده نمی‌کند، یعنی کسانی که به استفاده از آن علاقه دارند، برای انتقال بار داده‌های خود باید از فریب استفاده کنند. با این حال، این ابزار می‌تواند برای اجرای هر دستور به عنوان سامانه یا نمایش Meterpreter مورد استفاده قرار گیرد.

وی همچنین می‌گوید: «این مؤلفه بسیار قابل اطمینان است و جایی که یک named pipe برای هر فرد ناشناسی که وارد می‌شود قابل دسترسی است، بر EternalBlue ترجیح داده می‌شود.»

 

این مؤلفه سعی در اجرای شِل‌کد ندارد، اما در عوض ساختارهای نشست اتصال SMB را بازنویسی می‌کند، در نتیجه به نشست مدیر یا سامانه دست می‌یابد.

این بهره‌برداری‌ها می‌توانند در هر دو معماری ۳۲ بیتی و ۶۴ بیتی مورد استفاده قرار گیرند و تمام نسخه‌های ویندوز از ویندوز ۲۰۰۰ تا ویندوز ۱۰ و ویندوز سرور ۲۰۱۶ را هدف قرار دهند.

در واقع این مؤلفه برای پژوهش علمی و توسعه‌ی دفاع ایجاد شده است، نه برای استفاده در حملات، مگر در حالتی که استفاده از آن به طور صریح مجاز باشد.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید