NSA-Exploits für alle Windows-Versionen angepasst

Voriges Jahr haben Hacker diverse NSA-Tools öffentlich gemacht. Exploits wie EternalBlue wurden in Ransomware-Angriffen wie WannaCry, NotPetya und Bad Rabbit genutzt. Jetzt hat ein Sicherheitsforscher weitere Exploits unter die Lupe genommen und konnte diese so modifizieren, dass sie unter allen Windows-Versionen laufen.

Ich hatte in diversen Blog-Beiträgen über die Shadow Browsers-Veröffentlichungen berichtet (z.B. Microsofts Shadow Brokers-Analyse). Neben dem EternalBlue-Exploits wurden weitere Exploits veröffentlicht. Hier die Liste:

EternalBlue: Adressiert in MS17-010
EmeraldThread: Adressiert in MS10-061
EternalChampion; Adressiert in  CVE-2017-0146 & CVE-2017-0147
ErraticGopher: vor der Freigabe von Windows Vista adressiert
EsikmoRoll: Adressiert in MS14-068
EternalRomance: Adressiert in MS17-010
EducatedScholar: Adressiert in MS09-050
EternalSynergy: Adressiert in MS17-010
EclipsedWing: Adressiert in MS08-067

Diese Exploits nutzen Sicherheitslücken in Windows, funktionierten aber nur für bestimmte Versionen. Nun hat der RiskSense-Sicherheitsforscher Sean Dillon (@zerosum0x0x0) den Quellcode für einige dieser weniger bekannten Exploits so modifiziert, dass sie auf einer Vielzahl von Windows-Betriebssystemen funktionieren und Code auf SYSTEM-Ebene ausführen können.

Der Forscher hat vor kurzem diese modifizierten Versionen von EternalChampion, EternalRomance und EternalSynergy in das Metasploit Framework, ein Open-Source-Penetrationstestprojekt, auf GitHub integriert. Auf Twitter hat er diese Meldung gepostet.

MS17-010 #EternalSynergy #EternalRomance #EternalChampion exploit and auxiliary modules for @Metasploit. Support for Windows 2000 through 2016. I basically bolted MSF psexec onto @sleepya_ zzz_exploit. https://t.co/UnGA1u4gWe pic.twitter.com/Y9SMFJguH1

— zǝɹosum0x0 (@zerosum0x0) 29. Januar 2018

Die modifizierten Exploits können die folgenden Sicherheitslücken ausnutzen:

Diese Exploits sollten nun auf allen ungepatchten Windows-Versionen aus folgender Liste funktionieren.

• Windows 2000 SP0 x86
• Windows 2000 Professional SP4 x86
• Windows 2000 Advanced Server SP4 x86
• Windows XP SP0 x86
• Windows XP SP1 x86
• Windows XP SP2 x86
• Windows XP SP3 x86
• Windows XP SP2 x64
• Windows Server 2003 SP0 x86
• Windows Server 2003 SP1 x86
• Windows Server 2003 Enterprise SP 2 x86
• Windows Server 2003 SP1 x64
• Windows Server 2003 R2 SP1 x86
• Windows Server 2003 R2 SP2 x86
• Windows Vista Home Premium x86
• Windows Vista x64
• Windows Server 2008 SP1 x86
• Windows Server 2008 x64
• Windows 7 x86
• Windows 7 Ultimate SP1 x86
• Windows 7 Enterprise SP1 x86
• Windows 7 SP0 x64
• Windows 7 SP1 x64
• Windows Server 2008 R2 x64
• Windows Server 2008 R2 SP1 x64
• Windows 8 x86
• Windows 8 x64
• Windows Server 2012 x64
• Windows 8.1 Enterprise Evaluation 9600 x86
• Windows 8.1 SP1 x86
• Windows 8.1 x64
• Windows 8.1 SP1 x64
• Windows Server 2012 R2 x86
• Windows Server 2012 R2 Standard 9600 x64
• Windows Server 2012 R2 SP1 x64
• Windows 10 Enterprise 10.10240 x86
• Windows 10 Enterprise 10.10240 x64
• Windows 10 10.10586 x86
• Windows 10 10.10586 x64
• Windows Server 2016 10.10586 x64
• Windows 10 10.0.14393 x86
• Windows 10 Enterprise Evaluation 10.14393 x64
• Windows Server 2016 Data Center 10.14393 x64

Wer also für die Administration von Systemen zuständig ist, sollte sich versichern, dass diese auf dem aktuellen Update-Stand sind. Mehr Details finden sich in obigem GitHub-Post oder bei Bleeping Computer.

Ähnliche Artikel:
Neues vom NSA Shadow Brokers-Hack
Tschüssikowski: Shadow Brokers stellt NSA-Tools online
Shadow Brokers: Kein Hack, sondern durch NSA-Insider geklaut
NSA-Software: Hundertausende Systeme infiziert
Microsofts Shadow Brokers-Analyse
WannaCrypt-Zwischenruf: Wir müssen reden …
Shadow Brokers starten Zero-Day-Abo für 21.000 US $
Shadow Brokers senden Juni Exploit Pack an Abonnenten