Jefferson, 
27 de maio de 2017, 
Para quem ainda não sabe, Eternalblue é a vulnerabilidade explorada pelo ransomware Wannacry.
É muito simples. Em resumo você vai fazer isto:
- Baixar a instalar o NMAP para Windows;
- Salvar o script que detecta a vulnerabilidade no diretório \scripts do NMAP
- Executar o NMAP com o seguinte comando (supondo que sua rede esteja na faixa 10.0.0.x e o script tenha sido salvo como “smb-vuln-ms17-010.nse”):
nmap -sC -p445 –script smb-vuln-ms17-010.nse 10.0.0.0/24
Como o NMAP para Windows vem com uma GUI chamada ZenMap, basta executar a GUI e colocar o comando acima onde está escrito “Comando: ” e clicar em “Scan”. O resultado da varredura aparecerá segundos depois na tela.
O que o comando faz é procurar em toda a faixa de IPs pela porta 445 aberta. Encontrando-a roda o script. Se encontrar máquinas vulneráveis o resultado é parecido com isto (duas máquinas vulneráveis):
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 |
Nmap scan report for 10.0.0.31 Host is up (0.0010s latency). PORT STATE SERVICE 445/tcp open microsoft-ds MAC Address: 00:1E:0B:xx:xx:xx (Hewlett Packard) Host script results: | smb-vuln-ms17-010: | VULNERABLE: | Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010) | State: VULNERABLE | IDs: CVE:CVE-2017-0143 | Risk factor: HIGH | A critical remote code execution vulnerability exists in Microsoft SMBv1 | servers (ms17-010). | | Disclosure date: 2017-03-14 | References: | https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ | https://technet.microsoft.com/en-us/library/security/ms17-010.aspx |_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143 Nmap scan report for xxxxxxxxx (10.0.0.34) Host is up (0.0010s latency). PORT STATE SERVICE 445/tcp open microsoft-ds MAC Address: 94:18:82:xx:xx:xx (Hewlett Packard Enterprise) Host script results: | smb-vuln-ms17-010: | VULNERABLE: | Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010) | State: VULNERABLE | IDs: CVE:CVE-2017-0143 | Risk factor: HIGH | A critical remote code execution vulnerability exists in Microsoft SMBv1 | servers (ms17-010). | | Disclosure date: 2017-03-14 | References: | https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ | https://technet.microsoft.com/en-us/library/security/ms17-010.aspx |_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143 |
Algumas informações foram editadas com “xx” para proteger os culpados 
Para máquinas onde a vulnerabilidade não for encontrada não será exibida a seção “host script results”.
Notas:
Cuidado ao salvar o script. O Chrome, por exemplo, vai acrescentar “.txt” ao nome do arquivo, que pode não ser visível dependendo da sua configuração do Windows. Entretanto o NMAP vai abortar deixando claro que não achou o script.
Só vim lhe dar um apoio. Vi várias postagens excelentes nos últimos dias, não tenho nada para dizer sobre elas, mas gostaria que você soubesse que mesmo calados existem muitos que reconhecem o valor e qualidade de suas publicações.
A postagem atual é excelente, como as passadas sobre o mesmo tema, e sobre duas ferramentas que há muito tempo separei para teste mas nunca testei: AnyDesk e RDPWrap.
Muito obrigado pela boa obra! abraços
Obrigado. Às vezes parece que estou falando sozinho, mas como eu gosto de escrever e acho um desperdício ficar com essas anotações somente para mim, publico assim mesmo.
Bem, como disse Fernando Di Ramos, saiba que, mesmo não comentando, pelo menos umas 3 vezes por semana eu passo por aqui ver se tem novidade, leio, absorvo o conhecimento, mas nem sempre comento, só comento quando tenho algo a acrescentar.
Talvez eu tenha sido dramático demais
Eu sei que você, VR5, Saulo, Intruder A6 e Snow man (entre outros) estão sempre por aqui.
Eis que estarei convosco todos os dias, até o final dos tempos
Também sou dos que não comenta, mas que acompanho e acho ótimos os seus posts. Parabéns!
PS: O email é fake, mas todo o resto real.
Não comento, mas visito seus posts diariamente! Pode ter ctz que você esta ajudando muitas pessoas, mesmo que sejam visitantes gasparzinhos
Muito útil este post! Mas não tive oportunidade de testar mas vou precisar testar em um cliente, queria saber se alguém testou e confirmou se funciona mesmo.
Obrigado!!!