Stormshield vs. EternalBlue
Blog Exer - Stormshield vs. EternalBlue​

Stormshield vs. EternalBlue

Stormshield vs. EternalBlue

Par Arthur Goffette

Le but de cet article est de regarder comment se comporte un pare-feu Stormshield face à une tentative d’exploitation de la faille EternalBlue [1] (corrigée par Microsoft via le correctif MS07-010 [2]).

Pour rappel c’est cette dernière qui a permis la propagation des ransomwares « NotPetya » ainsi que « WannaCry », qui ont mis hors service de nombreux postes et bloqué de nombreuses entreprises et industries en 2017.

Configuration du Lab initial :

  • Une machine cible basé sur Windows 7 SP1 (patch MS07-010 non appliqué)
  • Une machine attaquante basé sur la distribution Kali Linux [3]

1ère attaque : sans pare-feu

Pour commencer je vais procéder à un scan avec Nmap qui va me permettre de détecter la version du système d’exploitation ainsi que des ports présents sur la machine.

Figure 1 : Ports ouverts détectés par Nmap

Comme vous pouvez l’apercevoir nombreux sont les ports ouverts sur cette machine.

Ensuite je regarde avec le module auxiliary de MetaSploit [4] afin de savoir si la cible est vulnérable à l’attaque EternalBlue :

Figure 2 : Metasploit semble indiquer la cible comme vulnérable

Le module a détecté l’OS de la machine et a pu conclure que la cible est vulnérable à Eternalblue. Je peux maintenant lancer l’exploit [5] adéquat :

Figure 3 : Succès de l’exploit, l’attaquant dispose d’une connexion administrateur sur la cible

La machine distante est désormais sous contrôle de l’attaquant qui n’a que l’embarras du choix pour la suite (vol d’identifiants, minage de crypto-monnaies, installation d’un ransomware, d’un rootkit, mouvement latéraux pour tenter de prendre le contrôle du domaine AD…)

2nde attaque : avec un pare-feu Stormshield SNS

Maintenant nous allons intercaler un pare-feu Stormshield SNS (un V50 dans notre cas) pour voir s’il réagit à l’ attaque.

Je vais mener différent scan avec Nmap comme d’habitude : 

Figure 4 : Ports ouverts détectés par Nmap

Voyons si le Firewall a détecté ce scan : 

Le scan n’est pas passé inaperçu et a levé de nombreuses alarmes même en utilisant des options pour que le scan sois le moins bruyant possible.

Figure 5 : Alarmes générées par le firewall lors du scan de ports

Maintenant je vais essayer d’exploiter la machine toujours avec la faille Eternalblue : 

Figure 6 : Échec de l’exploit
Figure 7 : Alarme de blocage sur la faille MS07-010

Le pare-feu a bien détecté l’attaque et l’a bloqué : 

Contre-mesures et préventions :

  • N’ouvrez que les ports strictement nécessaires à votre activité (réduction de la surface d’attaque)
  • Mettez à jour vos pare-feux, vos antivirus ainsi que vos systèmes d’exploitations.