[HTB] Legacy (Windows) – Pentest

Résumé

Une machine Windows a été découverte dans le cadre du test d’intrusion, et après énumération, il ressort qu’elle présente au moins un problème de configuration exploitable, permettant l’exécution de code à distance.
Un attaquant pourrait exploiter ce problème, et obtenir un accès total de type ‘système’ sur la machine, sans beaucoup d’efforts.

Niveau de difficulté : Bas

Niveau de criticité : Critique

Type d’attaque : Exécution de code à distance

Référence CVE : CVE-2008-4250

Référence Microsoft : MS08-067

Énumération

Plusieurs ports ouverts sont rapidement découverts, ainsi que la version du système d’exploitation utilisé :

  • TCP/139 : netbios-ssn (Microsoft Windows netbios-ssn)
  • TCP/445 : microsoft-ds (Windows XP microsoft-ds)
  • TCP/3389 : ms-wbt-server (Rdp)

Un second scan permet de lister les vulnérabilités connues, et il apparaît que le système est vulnérable à l’exécution de code à distance (MS08-067), tel que décrit dans la CVE-2008-4250.

Une recherche pour cette vulnérabilité remonte à ce jour 6 exploits possibles :

Exploitation

L’utilisation du module ‘ms08_067_netapi‘ dans Metasploit permet d’exploiter la vulnérabilité, et d’obtenir une session s’exécutant sous l’utilisateur SYSTEM, disposant des droits et permissions absolues sur la machine cible :

Recommandations

Mise à niveau du système d’exploitation
Nous recommandons de mettre à niveau le système d’exploitation vers une version supportée par Microsoft.

Installer les derniers mises à jour de sécurité pour Windows
Installer les mises à jours recommandées par Microsoft dans le bulletin de sécurité MS08-067.

Restreindre l’accès
Limiter l’accès au serveur aux seuls hôtes autorisés, en appliquant les principes généraux de segmentation/isolation.

Références

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2008/ms08-067

Laisser un commentaire