Perché l'exploit ms08_067_netapi è obsoleto? Ci sono alternative a questo exploit che possono aiutarmi a iniettare payload alla versione più recente di Windows?
Perché l'exploit ms08_067_netapi è obsoleto? Ci sono alternative a questo exploit che possono aiutarmi a iniettare payload alla versione più recente di Windows?
Come altri hanno affermato, MS08-067 (divulgato nel 2008) ha sfruttato un difetto nel modo in cui le richieste RPC sono state gestite (analizzate) all'interno di NetAPI32.dll. Da allora il codice è stato aggiornato con una patch per correggere la vulnerabilità, quindi è obsoleto. In termini di applicazione, la vulnerabilità si applica a:
Per lungo tempo, è stato considerato come uno dei gli exploit più popolari disponibili. Ragionare? Era onnipresente nei giorni della vecchia . Anche se i molti sistemi sono stati corretti o aggiornati, questo non è vero per i tutti e anche la scorsa settimana su una vulnerabilità scan per un client, ho trovato MS08-067 nella loro ambiente. Esistono molti sistemi legacy là fuori e non possono essere riparati per un motivo o per un altro (di solito amministratori preoccupanti). Considera anche che altri paesi in tutto il mondo non sono aggiornati come gli Stati Uniti e molti sistemi internazionali sono ancora vulnerabili a questo (e ad altri) exploit one-click . Il punto è che MS08-067 è tutt'altro che irrilevante.
On Hacking Newer Systems
È difficile raccomandare un solo squillo per domarli tutti , quindi se sei nuovo al pentesting, considera l'utilizzo di uno scanner di vulnerabilità per aiutarti a identificare problemi / punti deboli sul sistema che stai mirando. Un buon scanner di solito ti indirizza nella giusta direzione se trova qualcosa.
Happy Hacking!
Come per molte cose in sicurezza, la risposta è: Dipende
Tutte tranne una delle famiglie di sistemi operativi interessati da MS08-067 hanno superato la fine della loro vita. Dato che Microsoft non fornisce più alcun supporto per queste piattaforme, la maggior parte del mondo si è allontanato da loro e verso quelli più recenti che non sono interessati dalla stessa vulnerabilità.
Anche il server 2008 è interessato ed è ancora supportato da Microsoft per quasi altri quattro anni. Tuttavia, la maggior parte dei sistemi aziendali sarà aggiornato almeno a Server 2008 R2.
La parola chiave qui è la maggior parte . Mentre la grande maggioranza del mondo è passata, ci saranno organizzazioni più piccole - e anche alcune grandi - che sono più lente ad adattarsi. Esamina abbastanza di loro e puoi essere sicuro di trovare almeno alcune installazioni della piattaforma ogni colpita da MS08-067.
Quindi, per un utente malintenzionato / revisore dei conti, la questione se MS08-067 sia obsoleto si riduce a prescindere dal fatto che l'organizzazione a cui è destinato abbia uno o più sistemi con una delle seguenti piattaforme sulla rete:
Per le persone responsabili del mantenimento dei sistemi informativi, la risposta dipende ancora dai sistemi operativi che stanno utilizzando. Tuttavia, la lista è leggermente diversa.
Per gli amministratori di sistema, è più probabile che MS08-067 sia obsoleto rispetto a quello di hacker / auditor. Ma è importante sapere perché.
Naturalmente, se non stai utilizzando un sistema operativo interessato (elencato sopra), non devi preoccuparti affatto di MS08-067. Se stai utilizzando un sistema operativo interessato, la patch potrebbe essere ancora obsoleta perché è stata sostituita.
Nell'aprile del 2012, Microsoft ha pubblicato MS12-054. Questo ha ridestinato la vulnerabilità da MS08-067, rendendo in tal modo il bollettino obsoleto "obsoleto" e risolto anche problemi in altri sistemi operativi che erano ancora supportati da Microsoft al momento.
L'unica piattaforma interessata da MS08-067, che non era supportata da Microsoft al momento del rilascio di MS12-054, è Windows 2000. Quindi, se sei un amministratore dei sistemi che ne eseguono uno dei seguenti sistemi operativi ...
... quindi MS08-067 è obsoleto, e dovresti assicurarti di avere installato le patch specificate in MS12-054.
Da un punto di vista "offensivo", un bollettino sulla sicurezza è veramente obsoleto se non si applicherà mai a nessun sistema che verrà scelto come target. Detto questo, MS08-067 è in effetti più obsoleto rispetto alla maggior parte dato che la maggior parte del mondo ha ritirato le piattaforme interessate.
Da un punto di vista "difensivo", un bollettino sulla sicurezza è obsoleto solo se non si gestiscono i sistemi che saranno interessati da esso o esiste un bollettino sostitutivo per i sistemi interessati che si gestiscono. In questo caso, l'unico SO interessato per il quale MS08-067 non è sostituito è Windows 2000. Tutti gli altri, ove applicabile, dovrebbero ricevere MS12-054.
L'exploit è obsoleto perché l'exploit abusa di una vulnerabilità che è stata scoperta, segnalata e patchata da Microsoft nel 2008 . È improbabile trovare un sistema Windows che funzioni per 8 anni senza mai eseguire un aggiornamento.
Il bug si applicava solo a Windows XP, 2000, Windows Server 2003 e alcune configurazioni di Windows Server 2008. Tutte queste versioni sono obsolete, quindi non troverai nemmeno molti sistemi che sarebbero vulnerabili anche se non sono stati riparati.