NSA'erne EternalBlue udnytter blev porteret til enheder, der kører Windows 10 af hvide hatte, og på grund af dette kan enhver upatchet version af Windows tilbage til XP blive påvirket, en skræmmende udvikling i betragtning af EternalBlue er et af de mest magtfulde cyberangreb nogensinde offentliggjort.
Det bedste forsvar mod EternalBlue
RiskSense's forskere var blandt de første til at analysere EternalBlue og konkluderede, at de ikke ville frigive kildekoden til Windows 10-porten. En sådan. det bedste forsvar mod EternalBlue forbliver at anvende MS17-010-opdateringen leveret af Microsoft tilbage i marts.
RiskSense-forskere offentliggjorde en rapport, der forklarede, hvad der var nødvendigt for at bringe NSA-udnyttelsen til Windows 10 og undersøge de foranstaltninger, der er implementeret af Microsoft, der kan holde disse angreb i bevægelse frem.
Seniorforskningsanalytiker Sean Dillon erklærede, at forskningen var til informationssikkerhed med den hvide hat industrien for at øge bevidstheden om bedrifterne og føre til udviklingen af ny forebyggelse teknikker.
Den nye port er rettet mod Windows 10
Den nye havn er målrettet Windows 10 x64 version 1511 kodenavnet Threshold 2 udgivet tilbage i november. Det understøttede nuværende filial for virksomheder. Forskere formåede at omgå afbødninger, der blev introduceret i Windows 10, der manglede i Windows XP, 7 eller 8, og de var også i stand til at besejre EternalBlue omgået til DEP og ASLR.
ShadowBrokers lækager var snapshots af NSA's offensive kapaciteter og ikke et billede af deres nuværende arsenal. På nuværende tidspunkt har NSA sandsynligvis en Windows 10-version af EternalBlue, men indtil i dag har denne mulighed ikke været tilgængelig for forsvarere.
Det antages, at NSA muligvis har advaret Microsoft om den forestående ShadowBroker-lækage for at give virksomheden nok tid til at opbygge, teste og implementere MS17-010 inden lækagen.
Den bedste type udnyttelse
Ifølge Dillon er den bedste udnyttelse, som en angriber har til rådighed, EternalBlues evne til øjeblikkeligt at lette uautentificeret udførelse af fjernkode på Windows.
Bedriften formåede at bryde en masse ny grund, og Dillon sagde, at dette er et bunke-spray angreb på Windows-kernen. Heap-spray-angreb er sandsynligvis en af de sværeste former for udnyttelse specifikt til Windows, et operativsystem, der ikke har kildekode tilgængelig.
At udføre en sådan dyngspray på Linux ville være hård, men ville være lettere end dette, ifølge Dillon. For mere information kan du download PDF-rapporten at sikkerhedsforskere fra RiskSense offentliggjorde denne udnyttelse.
RELATEREDE HISTORIER, DER SKAL KONTROLLERES
- WannaCrys skabere truer med at frigive mere malware til Windows 10
- ESET frigiver EternalBlue Vulnerability Checker-værktøjet til verificering af cyberangreb
- Adylkuzz, en anden storstilet Windows cyberangreb, er efter sigende på vej