Stormshield vs. EternalBlue

Par Arthur Goffette

Le but de cet article est de regarder comment se comporte un pare-feu Stormshield face à une tentative d'exploitation de la faille EternalBlue [1] (corrigée par Microsoft via le correctif MS07-010 [2]).

Pour rappel c'est cette dernière qui a permis la propagation des ransomwares "NotPetya" ainsi que "WannaCry", qui ont mis hors service de nombreux postes et bloqué de nombreuses entreprises et industries en 2017.

Configuration du Lab initial :

  • Une machine cible basé sur Windows 7 SP1 (patch MS07-010 non appliqué)
  • Une machine attaquante basé sur la distribution Kali Linux [3]

1ère attaque : sans pare-feu

Pour commencer je vais procéder à un scan avec Nmap qui va me permettre de détecter la version du système d'exploitation ainsi que des ports présents sur la machine.

Figure 1 : Ports ouverts détectés par Nmap

Comme vous pouvez l’apercevoir nombreux sont les ports ouverts sur cette machine.

Ensuite je regarde avec le module auxiliary de MetaSploit [3] afin de savoir si la cible est vulnérable à l'attaque EternalBlue :

Figure 2 : Metasploit semble indiquer la cible comme vulnérable

Le module a détecté l’OS de la machine et a pu conclure que la cible est vulnérable à Eternalblue. Je peux maintenant lancer l’exploit [4] adéquat :

*Figure 3 : Succès de l'exploit, l'attaquant dispose d'une connexion administrateur sur la cible *

La machine distante est désormais sous contrôle de l'attaquant qui n'a que l'embarras du choix pour la suite (vol d'identifiants, minage de crypto-monnaies, installation d'un ransomware, d'un rootkit, mouvement latéraux pour tenter de prendre le contrôle du domaine AD...)

2nde attaque : avec un pare-feu Stormshield SNS

Maintenant nous allons intercaler un pare-feu Stormshield SNS (un V50 dans notre cas) pour voir s'il réagit à l' attaque.

Je vais mener différent scan avec Nmap comme d’habitude :
Figure 4 : Ports ouverts détectés par Nmap

Voyons si le Firewall a détecté ce scan :
Figure 5 : Alarmes générées par le firewall lors du scan de ports

Le scan n’est pas passé inaperçu et a levé de nombreuses alarmes même en utilisant des options pour que le scan sois le moins bruyant possible.

Maintenant je vais essayer d’exploiter la machine toujours avec la faille Eternalblue :
Figure 6 : Échec de l'exploit

Le pare-feu a bien détecté l'attaque et l'a bloqué :
Figure 7 : Alarme de blocage sur la faille MS07-010

Contre-mesures et préventions :

  • N'ouvrez que les ports strictement nécessaires à votre activité (réduction de la surface d'attaque)
  • Mettez à jour vos pare-feux, vos antivirus ainsi que vos systèmes d'exploitations.

[1] https://fr.wikipedia.org/wiki/EternalBlue

[2] https://docs.microsoft.com/fr-fr/security-updates/securitybulletins/2017/ms17-010

[3] https://www.kali.org

[3] https://www.metasploit.com

[4] https://fr.wikipedia.org/wiki/Exploit_(informatique)