Recientemente he intentado ejecutar el exploit de EternalBlue a través de metasploit (en VirtualBox lan), y he descubierto que si la PC víctima utiliza el cortafuegos de Windows más ingenuo que el ataque fallaría. Eso me hizo pensar: ¿cómo inicialmente los atacantes utilizaron este exploit para ejecutar un ransomware similar a WannaCry, cómo evitaron los firewalls para ejecutar el exploit?
Hay muchas razones por las que es posible que no pueda explotar el host, no todas tienen que ver con el firewall.
Muchos firewalls tienen una configuración predeterminada donde todas las conexiones entrantes están bloqueadas, excepto las conexiones permitidas, mientras que todas las conexiones salientes permanecen desbloqueadas.
Si ataca un puerto abierto que tiene permitido recibir conexiones de su host particular, y el destino es explotable, debería poder recuperar un shell inverso desde el destino, siempre que haya utilizado la configuración correcta .
Es posible que aún puedas aprovechar esto al encontrar un puerto que esté permitido por la configuración de conexión saliente del cortafuegos.
Incluso puede encontrar configuraciones donde se permiten las conexiones entrantes, pero se bloquea la creación de nuevas conexiones salientes. En este caso, es posible que necesite usar un bind shell .
Si RDP está abierto externamente, es posible que pueda agregar un nuevo usuario administrativo e iniciar sesión en ese host.
Sin embargo ...
También es posible que el firewall no bloquee este ataque.
Puede estar intentando explotar esto utilizando la arquitectura de destino incorrecta, el proceso incorrecto, etc. Se recomienda encarecidamente que enumere su objetivo para descubrir qué tipo de carga útil usar.
Incluso puede haber inestable el servicio a través de repetidos intentos de explotación, lo que significa que no responderá incluso si usa la configuración correcta. En este caso, reinicie la máquina y vuelva a intentarlo.
Si sabe que el objetivo está usando un antivirus adecuado, es probable que tenga que codificar / ofuscar la carga útil antes de que pueda ejecutarse sin detenerse.
EternalBlue requiere conectividad de red a SMB en el objetivo, por lo que si el Firewall de Windows (o cualquier firewall entre el atacante y el objetivo) bloquea ese acceso, el ataque fallará.
El ransomware como Wannacry dependía del hecho de que la mayoría de las organizaciones no ejecutan firewalls de host como el Firewall de Windows en sus sistemas.
Eternalblue apunta al puerto tcp 445 que ejecuta SMB, y en algunos casos también a 139. El firewall de Windows normalmente no bloquea el acceso a este puerto, ya que se supone que se debe utilizar para la interconexión de redes entre usuarios del dominio. Una forma segura de verificar sería escanear y ver si el puerto aparece como abierto. Si lo hace y usted puede identificarlo como SMB, entonces el firewall de Windows definitivamente no está bloqueando ninguna conexión con él.
La explotación de eternalblue es trivial una vez que el puerto está expuesto y la ejecución de SMB no está parcheada. Sin embargo, por experiencia, a veces se requieren varios intentos antes de obtener una explotación exitosa.
Lea otras preguntas en las etiquetas firewalls