当前位置:安全资讯 >> 全文

NSA 利用被移植到 18 年来发布的所有 Windows 版本中

发布时间:2018-2-6 21:39 标签: NSA 利用,Windows
分享到 0

一名安全研究员将三个被泄 NSA 利用代码移植到18年来发布的所有的 Windows 版本中,最早的版本是 Windows 2000

这三个利用是“永恒冠军 (EternalChampion)”、“永恒之烂漫 (EternalRomance)”和“永恒之协同 (EternalSynergy)”;它们均由“影子经纪人”在去年4月份泄露。该组织声称这些利用代码源自 NSA

NSA 利用移植到老旧 Windows 版本中

20174月,“影子经纪人”发布了多个利用代码和黑客工具,其中最著名的是“永恒之蓝 (EternalBlue)”。该利用代码被用于 WannaCryNotPetyaBad Rabbit 勒索软件攻击中。

虽然“永恒之蓝”成为恶意软件作者的心头之爱,但“影子经纪人”也泄露了一些不太为人熟知的利用代码。这些代码未流行起来的原因是他们仅能在少量 Windows 版本上运作,而无法支持最近的 Windows 发行版本。

如今,RiskSense 公司的安全研究员 Sean Dillon 更改了其中一些不太为人熟知的利用的源代码,可在大量 Windows 操作系统版本上运作并运行系统级别的代码。

Dillon 最近将“永恒之冠军”、“永恒之烂漫”和“永恒之协同”融合到了开源渗透测试框架 Metasploit Framework 中。

Dillon 构造了这些修改后的利用代码,利用的是如下漏洞:

CVE编号 漏洞 利用
CVE-2017-0143 WriteAndX Transaction 请求之间的类型混淆 永恒之烂漫 永恒之协同
CVE-2017-0146 带有 Transaction 请求的竞争条件 永恒之冠军 永恒之协同

 

Dillon 指出,“它并未执行 shellcode,而是覆写 SMB 连接会话结构以获取管理员/系统会话。 [Metasploit Framwork] 模块更精简(剥离数据包计数/填充)、检查额外的命名管道、在任何可能的情况下随机抛洒,并将 Metsploit psexec DCERPC 实现固定在它上面。”

适用于32位和64位基础架构

Dillon 表示他修改过的利用适用于32位和64位基础架构。所支持的 Windows版本如下:

l  Windows 2000 SP0 x86

l  Windows 2000 Professional SP4 x86

l  Windows 2000 Advanced Server SP4 x86

l  Windows XP SP0 x86

l  Windows XP SP1 x86

l  Windows XP SP2 x86

l  Windows XP SP3 x86

l  Windows XP SP2 x64

l  Windows Server 2003 SP0 x86

l  Windows Server 2003 SP1 x86

l  Windows Server 2003 Enterprise SP 2 x86

l  Windows Server 2003 SP1 x64

l  Windows Server 2003 R2 SP1 x86

l  Windows Server 2003 R2 SP2 x86

l  Windows Vista Home Premium x86

l  Windows Vista x64

l  Windows Server 2008 SP1 x86

l  Windows Server 2008 x64

l  Windows 7 x86

l  Windows 7 Ultimate SP1 x86

l  Windows 7 Enterprise SP1 x86

l  Windows 7 SP0 x64

l  Windows 7 SP1 x64

l  Windows Server 2008 R2 x64

l  Windows Server 2008 R2 SP1 x64

l  Windows 8 x86

l  Windows 8 x64

l  Windows Server 2012 x64

l  Windows 8.1 Enterprise Evaluation 9600 x86

l  Windows 8.1 SP1 x86

l  Windows 8.1 x64

l  Windows 8.1 SP1 x64

l  Windows Server 2012 R2 x86

l  Windows Server 2012 R2 Standard 9600 x64

l  Windows Server 2012 R2 SP1 x64

l  Windows 10 Enterprise 10.10240 x86

l  Windows 10 Enterprise 10.10240 x64

l  Windows 10 10.10586 x86

l  Windows 10 10.10586 x64

l  Windows Server 2016 10.10586 x64

l  Windows 10 10.0.14393 x86

l  Windows 10 Enterprise Evaluation 10.14393 x64

l  Windows Server 2016 Data Center 10.14393 x64

目前,多名安全研究员已独立证实称 Dillon 的利用代码适用于这些 Windows 版本中。

NSA 利用曾被移植过

Dillion 的部分代码使用了安全研究员 Worawit Wang 此前创建的“永恒之协同”利用代码。此前Bleeping Computer 网站也曾报道了 Wang 如何将“永恒之协同”移植到更新的 Windows 版本。

20176月,Dilon 还将“永恒之蓝”利用代码移植到 Windows 10中,他还发现了 SMBLoris 漏洞。

除了“永恒之蓝”外,NotPetya Bad Rabbit 勒索攻击章还使用了Dillion 最近移植到更多 Windows 版本中的“永恒之烂漫”利用代码。

Dillon 还发布了免责声明,警告人们称创建代码的目的是帮助企业通过渗透测试找到易受攻击的机器并开发出缓解策略。声明称,“该软件仅用于学术研究和开发有效的防御技术,在未经明确授权的情况下禁止用于攻击系统。作者和项目维护人员对于滥用该软件不承担任何责任。请负责任地使用该软件。”

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/nsa-exploits-ported-to-work-on-all-windows-versions-released-since-windows-2000/
参与讨论,请先 登录 | 注册

用户评论