Résumé
Une machine Windows a été découverte dans le cadre du test d’intrusion, et après énumération, il ressort qu’elle présente au moins un problème de configuration exploitable, permettant l’exécution de code à distance.
Un attaquant pourrait exploiter ce problème, et obtenir un accès total de type ‘système’ sur la machine, sans beaucoup d’efforts.
Niveau de difficulté : Bas
Niveau de criticité : Critique
Type d’attaque : Exécution de code à distance
Référence CVE : CVE-2008-4250
Référence Microsoft : MS08-067
Énumération
Plusieurs ports ouverts sont rapidement découverts, ainsi que la version du système d’exploitation utilisé :
- TCP/139 : netbios-ssn (Microsoft Windows netbios-ssn)
- TCP/445 : microsoft-ds (Windows XP microsoft-ds)
- TCP/3389 : ms-wbt-server (Rdp)
Un second scan permet de lister les vulnérabilités connues, et il apparaît que le système est vulnérable à l’exécution de code à distance (MS08-067), tel que décrit dans la CVE-2008-4250.
Une recherche pour cette vulnérabilité remonte à ce jour 6 exploits possibles :
Exploitation
L’utilisation du module ‘ms08_067_netapi‘ dans Metasploit permet d’exploiter la vulnérabilité, et d’obtenir une session s’exécutant sous l’utilisateur SYSTEM, disposant des droits et permissions absolues sur la machine cible :
Recommandations
Mise à niveau du système d’exploitation
Nous recommandons de mettre à niveau le système d’exploitation vers une version supportée par Microsoft.
Installer les derniers mises à jour de sécurité pour Windows
Installer les mises à jours recommandées par Microsoft dans le bulletin de sécurité MS08-067.
Restreindre l’accès
Limiter l’accès au serveur aux seuls hôtes autorisés, en appliquant les principes généraux de segmentation/isolation.
Références
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2008/ms08-067