Eternal Blues - Un scanner pour débusquer les machines vulnérables à la faille SMBv1 utilisée par Wannacry et notPetya / Petwrap

Originally published at: http://korben.info/eternal-blues-scanner-debusquer-machines-vulnerables-a-faille-smbv1-utilisee-wannacry-notpetya-petwrap.html

Petya, notpetya, petwrap, Expetr, GoldenEye et j’en passe, profite de la faille SMBv1 que Microsoft a patchée en mars 2017 et qui a leakée des mains de la NSA il y a peu sous le nom EternalBlue et EternalRomance. Je ne vais pas revenir sur le problème, car j’ai exprimé le fond de ma pensée…

Korben sûr de l’efficacité de ce logiciel ?

KB4012215 appliqué depuis le 15 mars et KB4012212 depuis aujourd’hui (au cas ou a cause de ce logiciel) et toujours vulnérable, toutes les MAJs windows update possible effectué.

J’ai raté un épisode, un patch du patch d’un patch ou autres ?

idem chez moi, il trouve rien sur smb linux mais le pc win10 à jour est vulnerable …

Idem pour moi, mes Windows 10 Professionnel et Windows 7 Entreprise sont aux derniers niveau de patchs et l’outil les voit comme vulnérable.

Vous avez bien patché vos machines mais smbv1 est toujours actif chez vous. Vos machines ne sont pas exploitables mais vous utilisez toujours ce vieux protocole smbv1

Lu dans la FAQ de Eternal Blues :

For god sake, please disable SMBv1 already. Whether your systems are patched or not. This protocol was written over 3 decades ago…!

Merci Korben pour cette précision.
“It does *not* exploit the vulnerability, but just checks whether it is exploitable.” … laisse à penser que son outil va vérifier que la vulnérabilité est bien exploitable et sans le faire jusqu’au bout … , mais effectivement il se contente juste de tester que le serveur répond ou non en SMBv1.
Une fois désactivé, l’outil indique bien que le système n’est plus vulnérable … il ne faut donc pas compter sur cet outil pour vérifier que l’OS a bien été patché.

Ok merci pour la précision Korben.

Je pensais que la désactivation de SMBv1 était un processus de contournement si les patchs ne pouvait pas être appliqués, ce qui est vrai il me semble. Mais si ce protocole en v1 ne sert plus pourquoi le laisser activé :wink:

J’ai laissé un commentaire sur le site de la personne pour voir si il pouvait mettre en place un système d’aide a la fin en différenciant OS Patché mais SMBv1 actif et OS Non-Patché / SMBv1 Actif et mettre un petit message en fonction.

Bonne journée.

Yop, je viens de faire un .bat pour “patcher” (lire couper) SMBv1 sur les machines.

Bisous =)

2 « J'aime »

En python https://github.com/topranks/MS17-010_SUBNET

j’espère qu’il y’aura un petit article sur T411 ? ! …

(3 marques de ponctuations différentes #wink !!!)

Salut,

Je croise quelques admin Windows plutôt sceptique sur la vulnerabilité de leur parc info.
Donc j ai mis en pratique un petit exploit sous Windows 2012 R2 et je suis devenu admin du domaine.
:slight_smile:

Explication: https://reload.eez.fr/blog:2017:07:03:wannacry_mise_en_pratique_d_un_exploit_sur_windows_2012_r2_a_partir_de_linux

On s est croisé en coulisse a la ndhxv mais je n ai osé te révéler mon admiration… :blush:

A+

Bonjour à tous,

Peut-être pourrez-vous m’aider à éclaircir un point…

Après la modif classique en BDR (pour Win7) pour désactiver SMB1, suivie du reboot du système, je ne comprend pas pourquoi le Seven continue à listen le 445 ! Avez-vous le même cas chez vous ?

netstat -na | find “LISTENING” | find “:445”

m’affiche :
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP [::]:445 [::]:0 LISTENING

J’ai pourtant vérifié dans la BDR, j’ai bien la clé SMB1 en DWORD à 0 sous HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Que ce soit à la mano sur la BDR ou en PowerShell, même punition !
(Testé sur différents Win 7 Home Premium)

Merci pour votre retour.

Il y a différentes versions de SMB, seule la v1 est désactivée sur le poste sans doute, smbv2.* et smbv3.* continuent d’utiliser le port 445.

Bonjour à tous,

Merci pour ton retour Bugmenot.
Effectivement tu as raison.
L’outils Eternalblues me confirme ne plus être vulnérable après avoir désactiver smb1 (évidement sur un OS patché MS17-010) et pourtant toujours en écoute sur 445.

Pour Mélo, on peut désactiver le SMB1 par la base de registre :
Créez la valeur DWORD 32bits « SMB1 » avec la valeur « 0 » dans :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters

par contre, il y’a certains cas où cela peut poser problème… Exemple, le cas d’une entreprise utilisant un scanner dont les scans tombent dans un répertoire partagé d’une machine via le SMB1. C’est le cas des KONICA MINOLTA récents (le C364 par exemple)… et probablement d’autres scanners.

Sinon effectivement, autant le supprimer. Sauf bien sûr, sur les quelques machines XP qui pourraient encore être utilisés… :wink: