偉い人から『自社はどうなんだ?』と聞かれて、
「WSUSもないしMDMもないし金も人もないので知らんがな。」
とは言えない悲しい管理者向けのエントリーです
言うまでもありませんが、ツールの悪用は厳禁です
管理者が社内の状況把握のためだけに使いましょう
良い子のお約束
ツールの特性上操作を誤ると重大なインシデントを発生させる恐れがあります
また、当エントリーの内容を実施したことによるあらゆる不具合、不都合が生じた場合については一切責任を負いません
何があっても自己責任で対処してください
仕組み
支店が遠隔地だったり、台数が多かったりして確認に時間がかかることが稀に起こり得ます
攻撃者向けのスキャンツールを使って一気に確認を行い、パッチ未適用のPCをあぶり出します
環境
VirtualBox 5.1.12
Kali linux 2017.1
準備
VirtualBoxのインストール
適当にググってやってください
ここから適当なものをダウンロードしてください
私はめんどくさかったので仮想イメージをダウンロードしました
SHA256とかの確認方法はググってください
やらなくても使えますがツールの特性上何か起きても責任は取れません
やらなくても使えますがツールの特性上何か起きても責任は取れません
手順
Kali linuxのインポート
VirtualBoxを起動し ファイル → 仮装アプライアンスのインポート を選択
インポートしたKali linuxを起動
root / toor
Guest Additionのインストール
ターミナルを起動(左上から2番目のアイコン)
GuestDiskを挿入
# cp /media/cdrom0/VBoxLinuxAdditions.run /root/
# ./VBoxLinuxAdditions.run
再起動
metasploit framework 起動(左上から4番目のMのアイコン)
初回起動時はちょっと時間がかかります
スキャンツールの起動
msf > use auxiliary/scanner/smb/smb_ms17_010
対象のホストを指定
msf auxiliary(smb_ms17_010) > set rhosts IPアドレス
IPアドレス固定でも、レンジ指定もできます
ex)
set rhosts 10.10.10.200
set rhosts 192.168.1.0/22
スレッド数の設定(やらなくてもいい)
msf auxiliary(smb_ms17_010) > set THREADS 8
スレッド数は多いと負荷高いです
IPレンジでスキャンするときは適度に調整してください
実行
msf auxiliary(smb_ms17_010) > run
問題がある=パッチが当たっていない端末は
[+] 192.168.1.111:445 - Host is likely VULNERABLE to MS17-010! (Windows 10 Pro 14393)
[+] 192.168.2.199:445 - Host is likely VULNERABLE to MS17-010! (Windows 7 Professional 7601 Service Pack 1)
などと表示されます
問題がない=パッチが当たっている端末は
[-] 10.1.0.36:445 - Host does NOT appear vulnerable.
と表示されます
対処
利用者を特定する
何らかの方法(当該IPに対してRDPしたり管理共有してみたり)で利用者を割り出しWindows Updateを促します
おそらく社内に周知メールは出ていると思いますが、やってないユーザに対して直接連絡することが効果的です
WSUSを立ててポリシーで管理する
当たり前ですがこれがシンプルかつベターですWSUS無しで乗り切ろうとせず、こういう事態に備えて入れることを提案しましょう