Seorang peneliti keamanan telah memaparkan tiga bocoran eksploitasi NSA yang bekerja pada semua versi Windows yang dirilis dalam 18 tahun terakhir, dimulai dengan Windows 2000.
Ketiga eksploitasi tersebut adalah EternalChampion, EternalRomance, dan EternalSynergy; ketiganya bocor pada April 2017 oleh kelompok hacking yang dikenal dengan The Shadow Brokers yang mengaku telah mencuri kode eksploitasi dari NSA.
Beberapa alat eksploitasi dan hacking dilepaskan dalam dump April 2017 oleh Shadow Brokers, yang paling terkenal adalah EternalBlue, eksploitasi yang digunakan dalam WannaCry, NotPetya, dan Bad Rabbit.
Sementara EternalBlue menjadi alat favorit di kalangan pembuat malware, dump Shadow Brokers juga menghadirkan banyak eksploitasi yang kurang dikenal. Alasan mengapa banyak dari ini tidak menjadi populer adalah bahwa mereka hanya bekerja pada sejumlah kecil versi Windows, dan tidak mendukung distribusi Windows yang lebih baru.
Namun sekarang, peneliti keamanan RiskSense Sean Dillon (@zerosum0x0) telah memodifikasi source code untuk beberapa eksploitasi yang kurang dikenal tersebut sehingga mereka dapat bekerja dan menjalankan kode tingkat sistem pada beragam versi OS Windows.
MS17-010 #EternalSynergy #EternalRomance #EternalChampion exploit and auxiliary modules for @Metasploit. Support for Windows 2000 through 2016. I basically bolted MSF psexec onto @sleepya_ zzz_exploit. https://t.co/UnGA1u4gWe pic.twitter.com/Y9SMFJguH1
— zǝɹosum0x0🦉 (@zerosum0x0) January 29, 2018
Peneliti baru-baru ini menggabungkan versi EternalChampion, EternalRomance, dan EternalSynergy yang dimodifikasi ini ke dalam Metasploit Framework.
Dillon telah membuat eksploitasi yang dimodifikasi untuk mengeksploitasi kerentanan berikut:
| CVE | Vulnerability | Exploited by |
|---|---|---|
| CVE-2017-0143 | Type confusion between WriteAndX and Transaction requests | EternalRomance EternalSynergy |
| CVE-2017-0146 | Race condition with Transaction requests | EternalChampion EternalSynergy |
Eksploitasi bekerja pada arsitektur 32-bit dan 64-bit
Dillon mengatakan bahwa eksploitasi yang dimodifikasinya akan bekerja pada arsitektur 32-bit dan 64-bit. Dia mencantumkan versi Windows berikut yang didukung:
Windows 2000 SP0 x86
Windows 2000 Professional SP4 x86
Windows 2000 Advanced Server SP4 x86
Windows XP SP0 x86
Windows XP SP1 x86
Windows XP SP2 x86
Windows XP SP3 x86
Windows XP SP2 x64
Windows Server 2003 SP0 x86
Windows Server 2003 SP1 x86
Windows Server 2003 Enterprise SP 2 x86
Windows Server 2003 SP1 x64
Windows Server 2003 R2 SP1 x86
Windows Server 2003 R2 SP2 x86
Windows Vista Home Premium x86
Windows Vista x64
Windows Server 2008 SP1 x86
Windows Server 2008 x64
Windows 7 x86
Windows 7 Ultimate SP1 x86
Windows 7 Enterprise SP1 x86
Windows 7 SP0 x64
Windows 7 SP1 x64
Windows Server 2008 R2 x64
Windows Server 2008 R2 SP1 x64
Windows 8 x86
Windows 8 x64
Windows Server 2012 x64
Windows 8.1 Enterprise Evaluation 9600 x86
Windows 8.1 SP1 x86
Windows 8.1 x64
Windows 8.1 SP1 x64
Windows Server 2012 R2 x86
Windows Server 2012 R2 Standard 9600 x64
Windows Server 2012 R2 SP1 x64
Windows 10 Enterprise 10.10240 x86
Windows 10 Enterprise 10.10240 x64
Windows 10 10.10586 x86
Windows 10 10.10586 x64
Windows Server 2016 10.10586 x64
Windows 10 10.0.14393 x86
Windows 10 Enterprise Evaluation 10.14393 x64
Windows Server 2016 Data Center 10.14393 x64
Beberapa periset keamanan secara independen telah mengkonfirmasi kode eksploitasi Dillon bekerja pada versi Windows ini.
exploit/windows/smb/ms17_010_psexec and auxiliary/admin/smb/ms17_010_command are now surely two of the most vigorously tested modules in all of @Metasploit. Thanks to everyone who helped! Should land to master branch soon… pic.twitter.com/NKy8nopF9p
— zǝɹosum0x0🦉 (@zerosum0x0) February 2, 2018
Pengguna yang memasang patch yang terinci dalam buletin keamanan Microsoft MS17-010 terlindungi dari eksploitasi ini.
