Ho provato recentemente a eseguire l'exploit EternalBlue tramite metasploit (su VirtualBox lan), e ho notato che se il PC vittima utilizza il firewall windows più ingenuo di quello che l'attacco fallirebbe. Questo mi ha fatto pensare: come inizialmente gli aggressori hanno usato questo exploit per eseguire il ransomware WannaCry-like, come hanno bypassato i firewall per eseguire l'exploit?
Ci sono molti motivi per cui potresti non essere in grado di sfruttare l'host, non tutto ciò che dovrà fare con il firewall.
Molti firewall hanno una configurazione predefinita in cui tutte le connessioni in entrata sono bloccate, ad eccezione delle connessioni consentite, mentre tutte le connessioni in uscita rimangono sbloccate.
Se attacchi una porta aperta a cui è permesso ricevere connessioni dal tuo particolare host - e la destinazione è sfruttabile - dovresti essere in grado di recuperare una shell inversa dalla destinazione, purché tu abbia usato le impostazioni corrette .
Potresti ancora riuscire a sfruttarlo trovando una porta consentita dalla configurazione della connessione in uscita del firewall.
Potresti anche incontrare impostazioni in cui le connessioni in entrata sono consentite, ma la creazione di nuove connessioni in uscita è bloccata. In questo caso, potresti dover utilizzare un bind shell .
Se RDP è aperto esternamente, potresti essere in grado di aggiungere un nuovo utente amministrativo e accedere a quell'host.
Tuttavia ...
È anche possibile che il firewall non blocchi questo attacco.
Potresti tentare di sfruttarlo usando l'architettura di destinazione sbagliata, il processo sbagliato, ecc. Si consiglia vivamente di enumerare il target per scoprire quale tipo di payload usare.
Potresti aver reso il servizio instabile anche attraverso ripetuti tentativi di sfruttamento, il che significa che non risponderà nemmeno se utilizzi le impostazioni corrette. In questo caso, riavvia la macchina e riprova.
Se sai che l'obiettivo utilizza un antivirus adeguato, probabilmente dovrai codificare / offuscare il carico utile prima che possa essere eseguito senza essere fermato.
EternalBlue richiede connettività di rete a SMB sulla destinazione, quindi se Windows Firewall (o qualsiasi firewall tra attaccante e destinazione) blocca tale accesso, l'attacco non riuscirà.
Il ransomware come Wannacry dipendeva dal fatto che la maggior parte delle organizzazioni non eseguono firewall host come Windows Firewall sui propri sistemi.
Eternalblue mira alla porta TCP 445 che esegue SMB e, in alcuni casi, anche a 139. Normalmente il firewall di Windows non blocca l'accesso a questa porta in quanto dovrebbe essere utilizzata per l'internetworking tra utenti del dominio. Un modo sicuro per controllare sarebbe quello di scansionare e vedere se la porta appare come aperta. Se lo fa e sei in grado di identificarlo come SMB, Windows Firewall non bloccherà assolutamente alcuna connessione ad esso.
Lo sfruttamento di eternalblue è banale una volta che la porta è stata esposta e la SMB in esecuzione non è stata riparata. Tuttavia, per esperienza, a volte ci vogliono un paio di tentativi prima di ottenere uno sfruttamento di successo.
Leggi altre domande sui tag firewalls