La NSA Exploit de EternalBlue fue portado a dispositivos que ejecutan Windows 10 por sombreros blancos y debido a esto, cada versión sin parche de Windows a XP puede verse afectada, un desarrollo aterrador considerando que EternalBlue es uno de los ciberataques más poderosos alguna vez hecho público.
La mejor defensa contra EternalBlue
Los investigadores de RiskSense estuvieron entre los primeros en analizar EternalBlue y concluyeron que no lanzarían el código fuente para el puerto de Windows 10. Un tal. la mejor defensa contra EternalBlue Queda por aplicar la actualización MS17-010 proporcionada por Microsoft en marzo.
Los investigadores de RiskSense publicaron un informe que explica qué era necesario para llevar el exploit de la NSA a Windows 10 y el examen de las medidas implementadas por Microsoft que podrían mantener estos ataques en movimiento hacia adelante.
El analista de investigación principal Sean Dillon declaró que la investigación fue para la seguridad de la información de sombrero blanco industria para aumentar la conciencia de las hazañas y conducir al desarrollo de nuevas medidas de prevención técnicas.
El nuevo puerto apunta a Windows 10
Los nuevos objetivos portuarios Windows 10 x64 versión 1511 Threshold 2 con nombre en código lanzado en noviembre. Apoyó a Current Branch for Business. Los investigadores lograron evitar las mitigaciones introducidas en Windows 10 que faltaban en Windows XP, 7 u 8 y también pudieron derrotar a EternalBlue omitido para DEP y ASLR.
Las filtraciones de ShadowBrokers fueron instantáneas de las capacidades ofensivas de la NSA y no una imagen de su arsenal actual. A estas alturas, la NSA probablemente tenga una versión de Windows 10 de EternalBlue, pero hasta el día de hoy, esta opción no ha estado disponible para los defensores.
Se cree que la NSA puede haber alertado a Microsoft sobre la inminente filtración de ShadowBroker para darle a la empresa tiempo suficiente para construir, probar e implementar el MS17-010 antes de la filtración.
El mejor tipo de exploit
Según Dillon, el mejor exploit que un atacante tiene a su disposición es la capacidad de EternalBlue para facilitar instantáneamente la ejecución no autenticada de código remoto en Windows.
La hazaña logró abrir un montón de nuevos caminos y Dillon dijo que se trata de un ataque de rociado de pila en el kernel de Windows. Los ataques de heap-spray son probablemente uno de los tipos de explotación más difíciles específicamente para Windows, un sistema operativo que no tiene código fuente disponible.
Realizar tal spray de montón en Linux sería difícil, pero sería más fácil que esto, según Dillon. Para obtener más información, puede descargar el informe en PDF que los investigadores de seguridad de RiskSense publicaron sobre este exploit.
HISTORIAS RELACIONADAS PARA VER:
- Los creadores de WannaCry amenazan con lanzar más malware para Windows 10
- ESET lanza la herramienta EternalBlue Vulnerability Checker para la verificación de ciberataques
- Adylkuzz, otro ciberataque de Windows a gran escala, está en camino
