Checando vulnerabilidade do WannaCry com uso do nmap

Com a disseminação em larga escala do ransomware WannaCry, houve uma corrida para atualizar sistemas, checar backups, revisar ambientes, etc.

Existe uma forma relativamente simples de verificar se os equipamentos da sua rede possuem ou não a vulnerabilidade explorada pelo ransomware.

Nesse breve relato, o sistema operacional utilizado para realizar a consulta é o CentOS 7. Você pode escolher um de sua preferência, lembre-se somente que alguns comandos abaixo podem mudar.

Abra um terminal, e como root execute os procedimentos descritos abaixo.

Primeiramente, instale o Lua 5.3:

yum install readline-devel
curl -R -O http://www.lua.org/ftp/lua-5.3.4.tar.gz
tar zxf lua-5.3.4.tar.gz
cd lua-5.3.4
make linux test
make linux install
cp lua /bin/lua
cp luac /bin/luac

Verifique se a instalação foi bem sucedida executando lua, que deverá retornar:

Lua 5.3.4  Copyright (C) 1994-2017 Lua.org, PUC-Rio

Agora, é necessário instalar a versão mais recente do nmap:

rpm -vhU https://nmap.org/dist/nmap-7.40-1.x86_64.rpm
rpm -vhU https://nmap.org/dist/zenmap-7.40-1.noarch.rpm
rpm -vhU https://nmap.org/dist/ncat-7.40-1.x86_64.rpm
rpm -vhU https://nmap.org/dist/nping-0.7.40-1.x86_64.rpm

Verifique se a instalação foi realizada normalmente com o comandonmap -V

O próximo passo é fazer o download do script do nmap que verifica se a vulnerabilidade MS17–010 existe nos sistemas alvo. O código do script está disponível no GitHub, contudo, no mesmo repositório há um pull request que possibilita informar as credenciais de acesso caso você esteja dentro de um domínio. Por isso, usaremos o script modificado.

Em /usr/share/nmap/scripts/ salve o arquivo smb-vuln-ms17-010.nse

Agora basta rodar o nmap com os parâmetros:

nmap -sC -p445 --open --max-hostgroup 3 --script smb-vuln-ms17-010.nse 192.168.0.0/24

Caso seja necessário informar as credenciais de acesso, utilize conforme sintaxe abaixo:

nmap -sC -p445 --open --max-hostgroup 3 --script smb-vuln-ms17-010_2.nse --script-args=smbusername=<usuario>,smbdomain=<dominio>,smbpassword=<senha> 192.168.0.0/24

Se desejar, a saída da varredura pode ser salva em um arquivo, bastando adicionar > resultado.log ao final do comando.

E é basicamente isso, com esses passos você poderá verificar se seus sistemas Windows estão seguros da falha explorada pelo WannaCry.

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.