ランサムウェアで話題のMS17-010 と魔改造版 Windows 2000

マイクロソフト、サポート切れのWindows XP他に「異例のセキュリティパッチ」公開。世界的にランサムウェア被害拡大中 - Engadget 日本版

windowsxp-kb4012598-x86-custom-jpn.exe
ほんとだ。でも、これバイナリ見ると、2017/2/12 の電子署名が入ってるので、カスタムサポートは
組み込み以外の 有償サポートでXPに提供されてることがわかるね・ω・

Win2000用も欲しいぞぃw

MS17-010/scanners at master ・ RiskSense-Ops/MS17-010 ・ GitHub
この脆弱性気になったので、Windows 2000でどうなるか試してみました

D:\Python27>python src\smb_ms17_010.py 192.168.10.6 <- 魔改造版Win2000(2013版)
[-] [192.168.10.6] Unable to detect if this host is vulnerable

D:\Python27>python src\smb_ms17_010.py 192.168.126.129 <- 最新の適用済みバニラ
[+] [192.168.126.129] is likely VULNERABLE to MS17-010! (Windows 5.0)

D:\Python27>python src\smb_ms17_010.py 127.0.0.1 <- 魔改造版Win2000(2015版)
[-] [127.0.0.1] Unable to detect if this host is vulnerable

何故か、Windows 2000魔改造版だと脆弱性検出できませんね…。
問題の、srv.sys 自体は同じはずなのですが

セキュリティソフト、無効にしても影響なし。

環境の問題かもしれないので、試して脆弱性検出された方はご連絡ください・ω・

おすすめ

4件のフィードバック

  1. 通りすがり より:
    2017年5月14日 9:51 PM

    具体的にどんなステータスコードが返ってきているのかを調べてみるといいかと思います。
    Pythonのソースコード内の log.info(“[-] [{}] Unable to…”) の次の行に
    log.info(map(hex,map(ord,nt_status)))
    のように入れると、nt_statusをHEX値 (little endian)で表示することができます。
    ちなみに手元に即興で作った環境(Windows 2000+SP4のみ)では、
    0x00050002 (STATUS_SMB_BAD_TID)
    が返ってきていました。
    スキャナの想定するエラーコードではないために引っかからないだけのような感じです。

    返信
  2. 通りすがり より:
    2017年5月14日 9:51 PM

    具体的にどんなステータスコードが返ってきているのかを調べてみるといいかと思います。
    Pythonのソースコード内の log.info(“[-] [{}] Unable to…”) の次の行に
    log.info(map(hex,map(ord,nt_status)))
    のように入れると、nt_statusをHEX値 (little endian)で表示することができます。
    ちなみに手元に即興で作った環境(Windows 2000+SP4のみ)では、
    0x00050002 (STATUS_SMB_BAD_TID)
    が返ってきていました。
    スキャナの想定するエラーコードではないために引っかからないだけのような感じです。

    返信
  3. Win2k大好き より:
    2017年5月15日 7:43 AM

    今回の更新、WESおよびPOSReady2009の更新として一度配信されてるので
    いつの間にか拡張カーネルに組み込んでいた可能性が…

    返信
  4. Win2k大好き より:
    2017年5月15日 7:43 AM

    今回の更新、WESおよびPOSReady2009の更新として一度配信されてるので
    いつの間にか拡張カーネルに組み込んでいた可能性が…

    返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です