NSA から流出した3つの脆弱性がWindows 2000以降の全てのWindows で動作するように改良される

何と言う事か、以前、シャドウブローカーによって漏洩した3つのNSAエクスプロイトが全ての脆弱な標準的なPCやワークステーションである、Windows 2000 からServer 2016をターゲットとして動作するように改良されました。

以前は、EternalSynergy、EternalRomance、EternalChampion はNotPetyaサイバー攻撃で部分的に使用されました。
しかし、最近のWindows版では動作しなかったため、EternalBlueほど悪意のあるソフトウェアとして採用されることがありませんでした。
過去18年間にリリースされたWindows版で動作するMicrosoft SMB（Server Message Block）の攻撃を移植した @zerosum0x0というリスクセンスのセキュリティ研究者、Sean Dillon氏に感謝しています。

免責事項によって、あなたのデジタル世界を壊してしまった悪用方法がどれくらいあるのかを判断できますか？
ディロンは免責事項で警告している：

このソフトウェアは、学術研究や効果的な防御技術の開発のために作成されたものであり、明示的に許可されている場合を除いてシステムを攻撃するために使用されることは意図されていません。
著者およびプロジェクトのメンテナーは、ソフトウェアの誤用の責任を負いません。
責任を持って使用してください。

MS17-010 #EternalSynergy #EternalRomance #Eternal Champion @Metasploitのエクスプロイトと補助モジュール。
私は基本的にMSFのpsexecを@sleepya_zzz_exploit に接続しました。
https://t.co/UnGA1u4gWe
https://t.co/Y9SMFJguH1

(@zerosum0x0) January 29, 2018

これらのエクスプロイトの「新しく改良された」バージョンは、Metasploit Frameworkに移植されました。

悪用方法の仕組み

Tripwireは、「修正された攻撃のそれぞれは、SMB接続セッション構造を利用してAdmin / SYSTEMアクセスを取得するというzzz_exploitの適応に依存するリモートコマンドとコード実行モジュールを誇っています。 EternalBlueとは異なり、EternalSynergy、EternalRomance、およびEternalChampionは、Meterpreterをステージングするためにカーネルシェルコードを使用しません。 Metasploitの侵入テストソフトウェアに付属しているペイロードであるMeterpreterをまだステージングできる人はいますが、ペイロードを回避する必要があるでしょう。

EternalBlueはこれで終わりではありませんが、Dillon氏は次のように述べています。「このモジュールは、EternalBlueよりも信頼性が高く、優先されています。名前付きパイプには匿名ログインが可能です（一般にVista以前の野良PCで）。"

セキュリティ研究者Kevin Beaumontはそれを試して、それが信頼でき、EternalBlueのような死のブルースクリーンを引き起こさないと付け加えました

大きなもの：SMBエクスプロイト（MS17-010で修正済み）がWindows 2000にWindows Server 2016まで移植され、その間にあるすべてのバージョン。信頼性があり、EternalBlueのようなBSODも発生しません。私はWin2000とXPで試した。 https://t.co/EZ96eFsV5C
- Kevin Beaumont（@GossiTheDog）、2018年1月29日

Heimdal Securityによれば、標的システムにシェルコードを注入して制御する代わりに、攻撃者はSMB（サーバーメッセージブロック）接続セッション構造を上書きしてシステム上の管理者権限を取得しようとします。

Dillon氏は、「EternalBlueとは異なり、エクスプロイトモジュールはディスクに落ちる（またはPowerShellコマンドを使用する）」と付け加えた。

数日のうちに、新しく修正されたエクスプロイトは、Metasploitで最も一般的にテストされたモジュールの2つになりました。

exploit / windows / smb / ms17_010_psexecとauxiliary / admin / smb / ms17_010_commandは、@ Metasploitの中で最も精力的にテストされたモジュールの2つになっています。助けてくれた皆様に感謝します！すぐに支店に着陸すべきなのです... pic.twitter.com/NKy8nopF9p
（@ zerosum0x0）2018年2月2日

Heimdal Securityは次のように述べています。「これらの攻撃には自己複製能力があり、多くのコンピュータに高速で影響を与える可能性があることに言及する価値があるので、利用可能なすべてのソフトウェアパッチを適用することをお勧めします。

Microsoftは2017年3月にパッチを発行しました。まだ修正プログラムを展開していない場合は、今すぐ実行することをお勧めします。

脆弱性を受ける Windows

改良されたNSAの脆弱性は、2000年以来、未パッチのすべてのバージョンのWindowsの32ビットおよび64ビットアーキテクチャで動作します
Dillonには、利用可能なWindowsのサポートされているバージョンのリストが含まれています。

    Windows 2000 SP0 x86
    Windows 2000 Professional SP4 x86
    Windows 2000 Advanced Server SP4 x86
    Windows XP SP0 x86
    Windows XP SP1 x86
    Windows XP SP2 x86
    Windows XP SP3 x86
    Windows XP SP2 x64
    Windows Server 2003 SP0 x86
    Windows Server 2003 SP1 x86
    Windows Server 2003 Enterprise SP 2 x86
    Windows Server 2003 SP1 x64
    Windows Server 2003 R2 SP1 x86
    Windows Server 2003 R2 SP2 x86
    Windows Vista Home Premium x86
    Windows Vista x64
    Windows Server 2008 SP1 x86
    Windows Server 2008 x64
    Windows 7 x86
    Windows 7 Ultimate SP1 x86
    Windows 7 Enterprise SP1 x86
    Windows 7 SP0 x64
    Windows 7 SP1 x64
    Windows Server 2008 R2 x64
    Windows Server 2008 R2 SP1 x64
    Windows 8 x86
    Windows 8 x64
    Windows Server 2012 x64
    Windows 8.1 Enterprise Evaluation 9600 x86
    Windows 8.1 SP1 x86
    Windows 8.1 x64
    Windows 8.1 SP1 x64
    Windows Server 2012 R2 x86
    Windows Server 2012 R2 Standard 9600 x64
    Windows Server 2012 R2 SP1 x64
    Windows 10 Enterprise 10.10240 x86
    Windows 10 Enterprise 10.10240 x64
    Windows 10 10.10586 x86
    Windows 10 10.10586 x64
    Windows Server 2016 10.10586 x64
    Windows 10 10.0.14393 x86
    Windows 10 Enterprise Evaluation 10.14393 x64
    Windows Server 2016 Data Center 10.14393 x64