Microsoft Windows SMBv1 Multiple Vulnerabilities

PEN TEST REPORT: EXAMPLE INSTITUTE 
JANUARY 1, 2020 
 
9 
sales@purplesec.us
 
EternalBlue is an exploit developed by the NSA and leaked via ShadowBrokers in 2017. 
Recent similar “Eternal” exploits have been developed to attack systems from Windows 
Server 2000 up to the latest OS releases. 
EternalBlue gives the attacker complete root access to the target system via a buffer 
overflow when sending specially crafted SMB packets to the server. The overflow 
executes code in a target service such as 
spoolsv.exe. 
Once the remote shell is opened, 
th
e attacker has control of the system as “NT Authority” which is kernel access in 
Windows systems, allowing complete system takeover. 
The SMB SMBv1 vulnerability opens the system up to the possibility of 
Ransomware attacks such as WannaCry, which are delivered as payloads via 
EternalBlue type attacks. 
PurpleSec’s ISA was able to gain root access to the system  192.168.1.235 
and  192.168.1.222 (McAfee Security Server) via CVE-2017- 
144. The analyst attempted to connect to the remote system via the SMB port 445 and 
without any credentials as a reconnaissance step to validate whether the remote system 
was honoring SMB connection requests. 
Once the connection was validated, the analyst used publicly available tools to exploit 
the vulnerability. 
Prompt changes to C:\windows\system 32, indicating that a remote shell has been 
established at the root of the target OS. 

PEN TEST REPORT: EXAMPLE INSTITUTE 
JANUARY 1, 2020 
 
10 
sales@purplesec.us
 
From here the analyst performs several directory traversals to move to the root drive and 
begin reconnaissance for critical files such as patient information, ePHI, PII, and 
payment information. Traversing user profile document folders revealed several folders 
with sensitive, confidential patient and hospital information. Due to attaining access as 
the NT Authority user, no permissions settings or passwords prevent access to any of the 
files on the system. 
User profiles contain various files that, if breached, could make Example Institute liable 
for fines. 
In addition to the noted HIPAA and ePHI files, a PFX certificate file was also located on 
the server. 

PEN TEST REPORT: EXAMPLE INSTITUTE 
JANUARY 1, 2020 
 
11 
sales@purplesec.us
 
PFX Files are encrypted files which may contain data or be used as secret keys to access 
other encrypted data or systems. PFX files have been breached under research conditions 
Additionally, if an attacker as root system accesses the 

Yüklə 1,24 Mb.

Dostları ilə paylaş: