¿Por qué está obsoleta la explotación ms08_067_netapi? ¿Existen alternativas a esta vulnerabilidad que puedan ayudarme a inyectar las cargas útiles a una versión más reciente de Windows?
¿Por qué está obsoleta la explotación ms08_067_netapi? ¿Existen alternativas a esta vulnerabilidad que puedan ayudarme a inyectar las cargas útiles a una versión más reciente de Windows?
Como han dicho otros, MS08-067 (divulgado en 2008) aprovechó una falla en la forma en que se manejaron (analizaron) las solicitudes de RPC dentro de NetAPI32.dll. Ese código se ha actualizado desde entonces con un parche para corregir la vulnerabilidad, por lo que está obsoleto. En términos de aplicación, la vulnerabilidad aplicada a:
Durante mucho tiempo, ha sido considerado como uno de los Las hazañas más populares disponibles. ¿Razón? Fue ubicuo en los días de antaño . Si bien la mayoría de los sistemas han sido parcheados o actualizados, esto no es cierto para todos los sistemas e incluso la semana pasada en un análisis de vulnerabilidad para un cliente, encontré MS08-067 en su ambiente. Muchos sistemas heredados existen y no pueden ser parcheados por una razón u otra (usualmente administradores preocupantes). También tenga en cuenta que otros países del mundo no están tan actualizados como los EE. UU. Y muchos sistemas internacionales aún son vulnerables a este (y otros) ataques de un solo clic . El punto es que MS08-067 está lejos de ser irrelevante.
Sobre la piratería de sistemas más nuevos
Es difícil recomendar un anillo para descartarlos a todos , por lo que si es nuevo en la prueba de pentesting, considere usar un escáner de vulnerabilidades para ayudarlo a identificar problemas / puntos débiles en el sistema al que se dirige. Por lo general, un buen escáner le indicará la dirección correcta si encuentra algo.
¡Feliz piratería!
Como con muchas cosas en seguridad, la respuesta es: Depende.
Todas menos una de las familias de sistemas operativos afectadas por MS08-067 han pasado su fin de vida. Dado que Microsoft ya no brinda soporte para estas plataformas, most del mundo se ha alejado de ellas y se ha trasladado a otras más nuevas que no están afectadas por la misma vulnerabilidad.
El servidor 2008 también se ve afectado, y sigue recibiendo soporte de Microsoft durante casi cuatro años más. Sin embargo, los sistemas empresariales most se habrán actualizado al menos a Server 2008 R2 hasta ahora.
La palabra clave aquí es most . Si bien la gran mayoría del mundo ha avanzado, habrá organizaciones más pequeñas, e incluso algunas grandes, que se adaptan más lentamente. Realice una encuesta de suficientes, y le garantizamos que encontrará al menos algunas instalaciones de cada plataforma afectada por MS08-067.
Entonces, para un atacante / auditor, la pregunta de si MS08-067 es obsoleta se reduce a si la organización a la que te diriges tiene uno o más sistemas con una de las siguientes plataformas en la red:
Para las personas responsables de mantener los sistemas de información, la respuesta aún depende de qué sistemas operativos estén usando. Sin embargo, la lista es ligeramente diferente.
Para los administradores de sistemas, en realidad es más probable que MS08-067 esté obsoleto que para los atacantes / auditores. Pero es importante saber por qué.
Por supuesto, si no está utilizando un sistema operativo afectado (mencionado anteriormente), entonces no tiene que preocuparse por MS08-067 en absoluto. Si está utilizando un sistema operativo afectado, es posible que el parche aún esté obsoleto porque ha sido reemplazado.
En abril de 2012, Microsoft publicó MS12-054. Esto redirigió la vulnerabilidad de MS08-067, lo que hace que el boletín anterior sea "obsoleto", y también solucionó problemas en otros sistemas operativos que aún eran compatibles con Microsoft en ese momento.
La única plataforma afectada por MS08-067, que no fue admitida por Microsoft en el momento en que se lanzó MS12-054, es Windows 2000. Por lo tanto, si usted es un administrador de sistemas que ejecuta una de los siguientes sistemas operativos ...
... entonces MS08-067 está obsoleto, y debe asegurarse de que tiene parches especificados en MS12-054 instalados en su lugar.
Desde un punto de vista "ofensivo", un boletín de seguridad solo es realmente obsoleto si nunca se aplicará a ningún sistema al que se dirigirá. Dicho esto, MS08-067 es de hecho más obsoleto que la mayoría, ya que la mayor parte del mundo ha retirado las plataformas afectadas.
Desde un punto de vista "defensivo", un boletín de seguridad solo es obsoleto si no administra los sistemas que se verán afectados por él o ; hay un boletín de reemplazo para los sistemas afectados que usted administra. En este caso, el único sistema operativo afectado para el cual MS08-067 no está reemplazado es Windows 2000. Todos los demás, donde corresponda, deben obtener MS12-054.
El exploit está obsoleto porque el exploit abusa de una vulnerabilidad que fue descubierta, reportada y parcheada por Microsoft en 2008 . Es poco probable que encuentre un sistema Windows que se ejecute durante 8 años sin tener que ejecutar una actualización.
El error solo se aplica a Windows XP, 2000, Windows Server 2003 y algunas configuraciones de Windows Server 2008 de todos modos. Todas estas versiones son obsoletas, por lo que ni siquiera encontrará muchos sistemas que sean vulnerables incluso si no están parcheados.