Uma das explorações mais comuns no msf, tcp reverso por buffer overflow, acho que é minha preocupação. Posso, de alguma forma, parar de gerenciar minhas portas TCP para negar acesso a rhosts e ficar protegido contra esse tipo de ataque?
Responder1
Não existe exploração baseada em TCP reverso; o TCP reverso é apenas a maneira pela qual o invasor obtém um canal de comunicação com o host explorado.
Você pode tentar minimizar as chances de um invasor abrir uma conexão reversa usando regras de firewall de saída que impedem que seus servidores acessem portas desnecessárias. Mesmo que o seu servidor precise ter portas abertas e serviços publicados, isso não significa que tenha que ter acesso irrestrito ao mundo exterior, eu recomendaria bloquear tudo exceto talvez SMTP se for um servidor de email e se você precisar de HTTP/HTTPS faça através de um proxy. Isso impediria que seu servidor abrisse uma conexão reversa para servir um shell remoto ao endereço IP do invasor. Além disso, a maioria dos sistemas de prevenção de intrusões emite um alerta quando vêem tráfego de saída anormal.
O melhor seria, claro,evitar que o serviço explorado seja comprometido em primeiro lugar, seguindo os guias de proteção do fornecedor, usando contas de serviço com o privilégio mínimo necessário para executar esses serviços e mantendo seu software atualizado. Quase todos os módulos de exploração que você encontrará no MSF já foram corrigidos pelo fornecedor no momento em que são publicados.