Exploatarea EternalBlue de la NSA a fost portată pe dispozitivele care rulează Windows 10 de pălării albe și, din această cauză, fiecare versiune neatacată a Windows-ului înapoi la XP poate fi afectată, o dezvoltare terifiantă având în vedere EternalBlue este unul dintre cele mai puternice atacuri cibernetice făcute publice vreodată.

Cea mai bună apărare împotriva EternalBlue

Cercetătorii RiskSense au fost printre primii care au analizat EternalBlue și au concluzionat că nu vor elibera codul sursă pentru portul Windows 10. O asemenea, un asemenea. cea mai bună apărare împotriva EternalBlue rămâne să aplice actualizarea MS17-010 oferită de Microsoft în martie.

Cercetătorii RiskSense au publicat un raport care explică ce era necesar pentru a aduce exploatarea NSA la Windows 10 și examinând măsurile implementate de Microsoft care ar putea menține aceste atacuri înainte.

Analistul principal al cercetării, Sean Dillon, a declarat că cercetarea este destinată industriei de securitate a informațiilor pentru pălăriile albe pentru a spori conștientizarea exploatărilor și a duce la dezvoltarea de noi tehnici de prevenire.

Noul port vizează Windows 10

Noul port vizează Windows 10 x64 versiunea 1511 cu numele de cod Threshold 2 lansat în noiembrie. Acesta a susținut filiala curentă pentru afaceri. Cercetătorii au reușit să ocolească atenuările introduse în Windows 10 care lipseau din Windows XP, 7 sau 8 și, de asemenea, au reușit să învingă EternalBlue ocolit pentru DEP și ASLR.

Scurgerile ShadowBrokers au fost instantanee ale capacităților ofensive ale NSA și nu o imagine a arsenalului lor actual. NSA are probabil versiunea EternalBlue de Windows 10, dar până în prezent această opțiune nu a fost disponibilă apărătorilor.

Se crede că NSA poate să fi alertat Microsoft despre iminentele scurgeri ShadowBroker pentru a oferi companiei suficient timp pentru a construi, testa și implementa MS17-010 înainte de scurgere.

Cel mai bun tip de exploatare

Potrivit lui Dillon, cel mai bun exploat pe care un atacator îl are la dispoziție este capacitatea EternalBlue de a facilita instantaneu executarea neautentificată a codului de la distanță pe Windows.

Proiectul a reușit să spargă o mulțime de terenuri noi și Dillon a spus că acesta este un atac de spray-uri asupra nucleului Windows. Atacurile cu spray-uri sunt probabil unul dintre cele mai dificile tipuri de exploatare special pentru Windows, un sistem de operare care nu are cod sursă disponibil.

Efectuarea unui astfel de spray de mormânt pe Linux ar fi greu, dar ar fi mai ușor decât acesta, potrivit Dillon. Pentru mai multe informații, puteți descărca raportul PDF pe care cercetătorii de securitate de la RiskSense l-au publicat pe acest exploit.