wesng

Wes-NG es una herramienta basada en la salida de la utilidad systeminfo de Windows que proporciona la lista de vulnerabilidades a las que el sistema operativo es vulnerable, incluidas cualquier exploits para estas vulnerabilidades. Se admite cada sistema operativo Windows entre Windows XP y Windows 11, incluidas sus contrapartes de Windows Server.

En el blog de Bitsadmin se dispone de un artículo en profundidad sobre WES-NG: actualizaciones de seguridad de Windows para hackers.

1. Descargue wes-ng usando pip install wesng o usando la siguiente línea de comandos: git clone https://github.com/bitsadmin/wesng --depth 1
2. Obtenga la última base de datos de vulnerabilidades ejecutando el comando wes.py --update
3. Hay dos opciones para verificar los parches faltantes: a. Iniciar missingkbs.vbs o missingkbs.ps1 en el host para que Windows determine qué parches faltan b. Use la herramienta systeminfo.exe incorporada de Windows para obtener la información del sistema del sistema local, o desde un sistema remoto utilizando systeminfo /S MyRemoteHost , y redirigirla a un archivo: systeminfo > systeminfo.txt
4. Dependiendo del método elegido en el paso 3, ejecute Wes-Ng: a. Con el archivo missing.txt como entrada: wes.py --missing missing.txt (o wes.py -m missing.txt ) b. Con el archivo systeminfo.txt como parámetro: wes.py systeminfo.txt wes-ng luego usa la base de datos para determinar qué parches son aplicables al sistema y a qué vulnerabilidades están actualmente expuestas, incluidas las exploits si están disponibles.
5. Como los datos proporcionados por la alimentación MSRC de Microsoft están frecuentemente incompletos y los falsos positivos son informados por wes.py , @dominicbreuker contribuyó con el parámetro --muc-lookup para validar los parches faltantes del archivo systeminfo.txt contra el catálogo de actualizaciones de Microsoft. Además, asegúrese de verificar la página de eliminación de falsos positivos en la wiki sobre cómo interpretar los resultados. Para obtener una descripción general de todos los parámetros disponibles para missingkbs.vbs , missingkbs.ps1 y wes.py , verifique cmdline.md.

Este repositorio de GitHub actualiza regularmente la base de datos de vulnerabilidades, por lo que ejecutar wes.py con el parámetro --update obtiene la última versión. Si se requiere la generación manual del archivo .csv con información de hotfix, use los scripts de la carpeta /colector para compilar la base de datos. Lea los comentarios en la parte superior de cada script y ejecútelos en el orden, ya que se enumeran a continuación. Ejecución de estos scripts producirá definiciones. El Collector Wes-NG extrae información de varias fuentes:

• Datos del Boletín de Seguridad de Microsoft: KBS para sistemas más antiguos [1]
• MSRC: la API de actualización de seguridad de Microsoft del Centro de Respuesta de Seguridad de Microsoft (MSRC): fuente de información estándar para actualizaciones modernas de Microsoft [2]
• Base de datos de vulnerabilidad nacional NIST (NVD): complementar vulnerabilidades con enlaces de explotación-DB [3] Estos se combinan en un solo archivo .csv que se comprime y se aloja en este repositorio de GitHub.

Desarrollé WES-NG porque, si bien el Windows-Exploit-Huggester de GDSSECURITY funcionó de manera excelente para los sistemas operativos en la era de Windows XP y Windows Vista, el Windows-Exploit-Huggester de GDSSECURITY no funciona para sistemas operativos como Windows 11 y vulnerabilidades publicadas en los últimos años. Esto se debe a que Microsoft reemplazó el archivo de Excel de datos de Boletín de Seguridad de Microsoft [1] en el que la API de MSRC [2] es totalmente dependiente de Windows-Exploit-Huggester de GDSS. El archivo de Excel de datos del boletín de seguridad de Microsoft no se ha actualizado desde el primer trimestre de 2017, por lo que no se pueden detectar sistemas operativos y vulnerabilidades más tarde. ¡Gracias @GDSSecurity, por esta gran herramienta que nos ha servido a muchos de nosotros durante tantos años!

• Los errores se pueden enviar a través de la página de problemas
• Para falsos positivos en los resultados, lea la página de falsos positivos de eliminación en el wiki primero. En caso de que eso no reduzca significativamente el número de falsos positivos, siga los pasos en la página de falsos positivos del informe en el wiki.

Ver ChangeLog.md

• Agregar soporte para la salida de cmdlet Get-SystemInfo de Nopowershell
• Agregar soporte para formatos de salida alternativos de systeminfo (CSV, Tabla)
• Más pruebas sobre las vulnerabilidades falsas positivas devueltas: ver también el wiki

[1] https://www.microsoft.com/download/details.aspx?id=36982

[2] https://portal.msrc.microsoft.com/en-us/developer

[3] https://nvd.nist.gov/vuln/data-feeds

Escrito por Arris Huijgen (@bitsadmin - https://github.com/bitsadmin/)