NSA-Exploits für alle Windows-Versionen angepasst

Voriges Jahr haben Hacker diverse NSA-Tools öffentlich gemacht. Exploits wie EternalBlue wurden in Ransomware-Angriffen wie WannaCry, NotPetya und Bad Rabbit genutzt. Jetzt hat ein Sicherheitsforscher weitere Exploits unter die Lupe genommen und konnte diese so modifizieren, dass sie unter allen Windows-Versionen laufen.


Anzeige

Ich hatte in diversen Blog-Beiträgen über die Shadow Browsers-Veröffentlichungen berichtet (z.B. Microsofts Shadow Brokers-Analyse). Neben dem EternalBlue-Exploits wurden weitere Exploits veröffentlicht. Hier die Liste:

EternalBlue: Adressiert in MS17-010
EmeraldThread: Adressiert in MS10-061
EternalChampion; Adressiert in  CVE-2017-0146 & CVE-2017-0147
ErraticGopher: vor der Freigabe von Windows Vista adressiert
EsikmoRoll: Adressiert in MS14-068
EternalRomance: Adressiert in MS17-010
EducatedScholar: Adressiert in MS09-050
EternalSynergy: Adressiert in MS17-010
EclipsedWing: Adressiert in MS08-067

Diese Exploits nutzen Sicherheitslücken in Windows, funktionierten aber nur für bestimmte Versionen. Nun hat der RiskSense-Sicherheitsforscher Sean Dillon (@zerosum0x0x0) den Quellcode für einige dieser weniger bekannten Exploits so modifiziert, dass sie auf einer Vielzahl von Windows-Betriebssystemen funktionieren und Code auf SYSTEM-Ebene ausführen können.

Der Forscher hat vor kurzem diese modifizierten Versionen von EternalChampion, EternalRomance und EternalSynergy in das Metasploit Framework, ein Open-Source-Penetrationstestprojekt, auf GitHub integriert. Auf Twitter hat er diese Meldung gepostet.

Die modifizierten Exploits können die folgenden Sicherheitslücken ausnutzen:

CVE Sicherheitslücke NSA Exploit
CVE-2017-0143 Type confusion between WriteAndX and Transaction requests EternalRomance
EternalSynergy
CVE-2017-0146 Race condition with Transaction requests EternalChampion
EternalSynergy

Diese Exploits sollten nun auf allen ungepatchten Windows-Versionen aus folgender Liste funktionieren.

  • Windows 2000 SP0 x86
  • Windows 2000 Professional SP4 x86
  • Windows 2000 Advanced Server SP4 x86
  • Windows XP SP0 x86
  • Windows XP SP1 x86
  • Windows XP SP2 x86
  • Windows XP SP3 x86
  • Windows XP SP2 x64
  • Windows Server 2003 SP0 x86
  • Windows Server 2003 SP1 x86
  • Windows Server 2003 Enterprise SP 2 x86
  • Windows Server 2003 SP1 x64
  • Windows Server 2003 R2 SP1 x86
  • Windows Server 2003 R2 SP2 x86
  • Windows Vista Home Premium x86
  • Windows Vista x64
  • Windows Server 2008 SP1 x86
  • Windows Server 2008 x64
  • Windows 7 x86
  • Windows 7 Ultimate SP1 x86
  • Windows 7 Enterprise SP1 x86
  • Windows 7 SP0 x64
  • Windows 7 SP1 x64
  • Windows Server 2008 R2 x64
  • Windows Server 2008 R2 SP1 x64
  • Windows 8 x86
  • Windows 8 x64
  • Windows Server 2012 x64
  • Windows 8.1 Enterprise Evaluation 9600 x86
  • Windows 8.1 SP1 x86
  • Windows 8.1 x64
  • Windows 8.1 SP1 x64
  • Windows Server 2012 R2 x86
  • Windows Server 2012 R2 Standard 9600 x64
  • Windows Server 2012 R2 SP1 x64
  • Windows 10 Enterprise 10.10240 x86
  • Windows 10 Enterprise 10.10240 x64
  • Windows 10 10.10586 x86
  • Windows 10 10.10586 x64
  • Windows Server 2016 10.10586 x64
  • Windows 10 10.0.14393 x86
  • Windows 10 Enterprise Evaluation 10.14393 x64
  • Windows Server 2016 Data Center 10.14393 x64

Werbung

Wer also für die Administration von Systemen zuständig ist, sollte sich versichern, dass diese auf dem aktuellen Update-Stand sind. Mehr Details finden sich in obigem GitHub-Post oder bei Bleeping Computer.

Ähnliche Artikel:
Neues vom NSA Shadow Brokers-Hack
Tschüssikowski: Shadow Brokers stellt NSA-Tools online
Shadow Brokers: Kein Hack, sondern durch NSA-Insider geklaut
NSA-Software: Hundertausende Systeme infiziert
Microsofts Shadow Brokers-Analyse
WannaCrypt-Zwischenruf: Wir müssen reden …
Shadow Brokers starten Zero-Day-Abo für 21.000 US $
Shadow Brokers senden Juni Exploit Pack an Abonnenten


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.