Die NSA EternalBlue-Exploit wurde von White Hats auf Geräte mit Windows 10 portiert und aus diesem Grund kann jede ungepatchte Version von Windows zurück auf XP betroffen sein, eine erschreckende Entwicklung, wenn man bedenkt, dass EternalBlue ist einer der mächtigsten Cyberangriffe jemals öffentlich gemacht.
Die beste Verteidigung gegen EternalBlue
Die Forscher von RiskSense gehörten zu den ersten, die EternalBlue analysierten und kamen zu dem Schluss, dass sie den Quellcode für die Windows 10-Portierung nicht veröffentlichen würden. Ein solcher. die beste Verteidigung gegen EternalBlue bleibt das MS17-010-Update, das von Microsoft im März bereitgestellt wurde, anzuwenden.
RiskSense-Forscher veröffentlichten einen Bericht, in dem erläutert wurde, was notwendig war, um den NSA-Exploit zum Windows 10 und Prüfung der von Microsoft implementierten Maßnahmen, die diese Angriffe am Laufen halten könnten nach vorne.
Der Senior Research Analyst Sean Dillon erklärte, dass die Forschung auf die White-Hat-Informationssicherheit ausgerichtet war Industrie, um das Bewusstsein für die Taten zu stärken und zur Entwicklung neuer Präventionsmassnahmen zu führen Techniken.
Der neue Port zielt auf Windows 10
Die neuen Hafenziele Windows 10 x64-Version 1511 Codename Threshold 2 wurde bereits im November veröffentlicht. Es unterstützte Current Branch for Business. Den Forschern gelang es, die in Windows 10 eingeführten Abschwächungen zu umgehen, die in Windows XP, 7 oder 8 fehlten, und sie konnten auch EternalBlue umgehen, das für DEP und ASLR umgangen wurde.
Die Leaks der ShadowBrokers waren Momentaufnahmen der offensiven Fähigkeiten der NSA und kein Abbild ihres aktuellen Arsenals. Inzwischen hat die NSA wahrscheinlich eine Windows 10-Version von EternalBlue, aber diese Option stand Verteidigern bis heute nicht zur Verfügung.
Es wird angenommen, dass die NSA Microsoft über das bevorstehende ShadowBroker-Leak informiert hat, um dem Unternehmen genügend Zeit zu geben, das MS17-010 vor dem Leak zu bauen, zu testen und bereitzustellen.
Die beste Art von Exploit
Laut Dillon ist der beste Exploit, der einem Angreifer zur Verfügung steht, die Fähigkeit von EternalBlue, die nicht authentifizierte Ausführung von Remote-Code unter Windows sofort zu ermöglichen.
Das Kunststück hat es geschafft, viel Neuland zu betreten, und Dillon sagte, dass dies ein Heap-Spray-Angriff auf den Windows-Kernel ist. Heap-Spray-Angriffe sind wahrscheinlich eine der schwierigsten Ausbeutungsarten speziell für Windows, ein Betriebssystem, für das kein Quellcode verfügbar ist.
Die Durchführung eines solchen Heap-Sprays unter Linux wäre schwierig, aber laut Dillon einfacher als dies. Für weitere Informationen können Sie Laden Sie den PDF-Bericht herunter die Sicherheitsforscher von RiskSense zu diesem Exploit veröffentlicht haben.
VERWANDTE GESCHICHTEN ZUM ANSEHEN:
- Die Macher von WannaCry drohen, mehr Malware für Windows 10 freizugeben
- ESET veröffentlicht EternalBlue Vulnerability Checker Tool zur Verifizierung von Cyberangriffen
- Adylkuzz, ein weiterer groß angelegter Windows-Cyberangriff, ist angeblich auf dem Weg
