Exploit EternalBlue NSA został przeniesiony na urządzenia z systemem Windows 10 przez białe kapelusze i z tego powodu może to wpłynąć na każdą niezakończoną wersję systemu Windows z powrotem na XP, co jest przerażające, biorąc pod uwagę, że EternalBlue jest jednym z najpotężniejszych cyberataków, jakie kiedykolwiek opublikowano.

Najlepsza obrona przed EternalBlue

Badacze RiskSense jako jedni z pierwszych przeanalizowali EternalBlue i doszli do wniosku, że nie zwolnią kodu źródłowego dla portu Windows 10. Taki najlepszą obroną przed EternalBlue pozostaje zastosowanie aktualizacji MS17-010 dostarczonej przez Microsoft w marcu.

Badacze RiskSense opublikowali raport wyjaśniający, co było konieczne, aby wykorzystać exploit NSA do systemu Windows 10 i analizowali środki wdrożone przez Microsoft, które mogłyby przyspieszyć ataki.

Starszy analityk ds. Badań, Sean Dillon, stwierdził, że badania dotyczyły branży bezpieczeństwa informacji w białym kapeluszu w celu zwiększenia świadomości na temat exploitów i opracowania nowych technik zapobiegania.

Nowy port jest przeznaczony dla systemu Windows 10

Nowy port jest przeznaczony dla systemu Windows 10 x64 w wersji 1511 o kryptonimie Próg 2 wydany w listopadzie. Obsługiwał bieżący oddział dla biznesu. Badaczom udało się obejść ograniczenia wprowadzone w systemie Windows 10, których brakowało w Windows XP, 7 lub 8, a także udało im się pokonać EternalBlue omijany dla DEP i ASLR.

Wycieki ShadowBrokers były migawkami zdolności ofensywnych NSA, a nie obrazem ich obecnego arsenału. Do tej pory NSA prawdopodobnie ma wersję EternalBlue na Windows 10, ale do dziś ta opcja nie była dostępna dla obrońców.

Uważa się, że NSA mogła powiadomić Microsoft o zbliżającym się wycieku ShadowBroker, aby dać firmie wystarczająco dużo czasu na zbudowanie, przetestowanie i wdrożenie MS17-010 przed wyciekiem.

Najlepszy rodzaj exploita

Według Dillona najlepszym atakiem, jaki ma do dyspozycji atakujący, jest zdolność EternalBlue do natychmiastowego ułatwienia nieuwierzytelnionego wykonania zdalnego kodu w systemie Windows.

Osiągnięcie to udało się przełamać wiele nowych gruntów, a Dillon powiedział, że jest to atak rozprysków na jądro systemu Windows. Ataki z rozpylaniem stosu są prawdopodobnie jednym z najtrudniejszych rodzajów exploitów specjalnie dla Windows, systemu operacyjnego, który nie ma dostępnego kodu źródłowego.

Według Dillona wykonanie takiego natrysku na stos w Linuksie byłoby trudne, ale byłoby łatwiejsze. Aby uzyskać więcej informacji, możesz pobrać raport PDF, który badacze bezpieczeństwa z RiskSense opublikowali na temat tego exploita.