Zawartość artykułu
Wykrywanie luki
Instalujemy wymagane oprogramowanie:
1 |
sudo apt-get install nmap |
Ustalamy adres IP komputera z Windows7. Np. poprzez logowanie się do rutera w sieci lokalnej:
1 |
http://192.168.0.1 |
lub
1 |
http://192.168.1.1 |
W innym wypadku sprawdź informacje na spodzie routera.
W zakładce z listą podłączonych urządzeń znajdujemy IP naszego Windowsa. Ewentualnie w Windowsie włączamy program:
Start -> Uruchom (pole tekstowe) -> cmd.exe
Następnie w linii komend wpisujemy:
1 |
ipconfig \all |
Powiedzmy, że IP Widowsa w naszej sieci to:
1 |
192.168.0.101 |
Ostatnią rzeczą, którą potrzebujemy to skrypt analizujący podatność na atak ze strony tego wirusa.
Ściagamy go:
wget https://raw.githubusercontent.com/cldrn/nmap-nse-scripts/master/scripts/smb-vuln-ms17-010.nse
Ewentualnie ręcznie:
https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse
Tutaj jest mirror spakowany ZIPem: smb-vuln-ms17-010.nse.
Uruchamiamy komendę:
1 |
nmap --script smb-vuln-ms17-010.nse -p445 192.168.0.101 |
Ewentualnie z parametrem:
1 |
nmap -Pn --script smb-vuln-ms17-010.nse -p445 192.168.0.101 |
Jeśli wynikem skanowania jest:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
Starting Nmap 7.40 ( https://nmap.org ) at 2017-05-20 17:42 CEST Nmap scan report for 192.168.0.101 Host is up (0.00073s latency). PORT STATE SERVICE 445/tcp open microsoft-ds Host script results: | smb-vuln-ms17-010: | VULNERABLE: | Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010) | State: VULNERABLE | IDs: CVE:CVE-2017-0143 | Risk factor: HIGH | A critical remote code execution vulnerability exists in Microsoft SMBv1 | servers (ms17-010). | | Disclosure date: 2017-03-14 | References: | https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ | https://technet.microsoft.com/en-us/library/security/ms17-010.aspx |_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143 Nmap done: 1 IP address (1 host up) scanned in 13.31 seconds |
Nasz komputer jest podatny na atak! Należy jak najszybciej poczynić odpowiednie kroki naprawcze (patrz niżej).
Wynik postaci:
1 2 |
Host script results: |_smb-vuln-ms17-010: Could not connect to 'IPC$' |
Oznacza brak możliwości tego ataku.
– – – – –
Usunięcie luki w Widows 7 / 8:
Panel sterowania -> System zabezpieczenia -> Narzędzia administracyjne -> Windows Power Shell Modules
Pojawi się okno do wprowadzania kodu (terminal).
Następnie w Windows 7 należy wkleić:
1 |
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force |
Windows 8:
1 |
Set-SmbServerConfiguration -EnableSMB1Protocol $false |
Te kody są zestawione tutaj, na stronie firmy MicroSoft:
Alternatywnie, należy zainstalować najnowsze aktualizacje systemu i przeprowadzić test ponownie.