MS17-010 Zafiyeti ve Tespiti

Windows’taki CVE-2017-010 SMB güvenlik açığını inceleyeceğiz.Shodow Brokers bu belgeleri 14 Nisanda açıklamıştı.Windows Mart ayında bu zafiyetin yamasını daha önceden yayınlamıştı.Yamanın yayınlanmasına rağmen güncelleme yapmayan bilgisayarlar için potansiyel olarak hala tehlike halindedir.Bu zafiyetin kullanılabilmesi için 445 smb portunun açık olması gerekmektedir.

CVE-2017-010 SMB zafiyeti Windows XP işletim sistemlerde görülen MS08-067(exploits/windows/smb/ms08_067_netapi) zafiyetini de akıllara getirdi ve daha fazla sistem etkilenmiş durumdadır.Aşağıda etkilenen sistemler listesi gözükmektedir.

Nasıl Tespit Ederiz;

1) Python Script

Hedef makinada bu açıklığın olup olmadığını anlamak için aşağıdaki python scripti bu kontolü yapılabilmektedir. Kullanımı çok basitir.

Python scripti çalıştırmak için argüman olarak taranmak istenen ip adresi yazılmalıdır.Tarama sonucunda hedef sistemde bu zafiyet varsa “is likely VULNERABLE to MS17-010!” yazısı çıkmaktadır eğer zafiyet bulunmuyorsa does “NOT appear vulnerable” yazısı çıkacaktır.

Taranan ip’de zafiyet olduğu gözükmektedir.

2) Metasploit Auxiliary

Metasploit ile yapacağımız taramalarda daha önce tespit ettiğimiz hedef IP adreslerini kullanacağız

CVE-2017-010 zafiyetinin bir makinada olup olmadığını anlamak için metasploit’te hazır bulunan smb_ms17_010 auxiliary’ini kullanırız.

Metasploit’te smb_ms17_010 auxiliary’e hedef ip’yi verdikten sonra bize CVE-2017-010 zafiyeti bulunup bulunmadığını söyleyecek.

set rhosts komutundan sonra istenirse ip’lerin arasına boşluk konularak daha fazla ip taraması yapılabilmektedir.

[!] 192.168.2.144:445 – Host is likely VULNERABLE to MS17-010! —>Makinada zafiyet MS17-010 zafiyeti var.

3) Nmap Scripts

Hedef sistemde bu açıklığın olup olmadığını anlamanın diğer bir yöntemi ise nmap aracıdır.MS017-01 exploitnin kontrolü için yazılan betik nmap scrips klasörü altına atıldıktan sonra kullanıma hazır olacaktır.Script’,in nmap script klasörü içerisine eklenmesi gerekmektedir.

Bu açıkık smb 445 portundan kaynaklandığı için aşağıdaki nmap komutu ile kontol sağlanmış olur.

Sıra tarama sonucunu incelemekte :)

Exploit Etme İşlemleri

1) Metasploit

Metasploit’e bu açıklık çıktıktan hemen sonra eklenen ms17_010_eternalblue exploit’i birinci yöntemde exploit etmektedir.Fakat bu exploit sadece Windows 7 ve Server 2008 R2 (x64) sistemlerde çalışmaktadır.

Nasıl Korunuruz ?

Microsoft Windows işletim sistemlerinin güncellemeleriniz düzenli olarak yapılması gerekir. Ms17-010 kodlu yamanın yüklenmesi önerilir.

445/TCP portunuzu kapatmanızı öneririz.