NSA: t EternalBlue hyödyntää siirrettiin Windows 10 -käyttöjärjestelmää käyttäville laitteille valkoisilla hattuilla ja tämän vuoksi jokainen Windows XP: hen palaamaton versio voi vaikuttaa, kauhistuttava kehitys EternalBlue huomioon ottaen yksi voimakkaimmista verkkohyökkäyksistä koskaan julkistettu.
Paras suoja EternalBlueä vastaan
RiskSensen tutkijat analysoivat ensimmäisten joukossa EternalBlue-ohjelmaa ja päättelivät, etteivät he julkaisisi Windows 10 -portin lähdekoodia. Tällainen. paras suoja EternalBlueä vastaan on edelleen sovellettava Microsoftin maaliskuussa toimittamaa MS17-010-päivitystä.
RiskSense-tutkijat julkaisivat raportin, jossa selitettiin, mikä oli välttämätöntä NSA: n hyödyntämiseksi Windows 10 ja Microsoftin toteuttamien toimenpiteiden tutkiminen, jotka voivat pitää nämä hyökkäykset liikkeessä eteenpäin.
Vanhempi tutkimusanalyytikko Sean Dillon totesi, että tutkimus koski valkoisen hatun tietoturvaa teollisuuden on lisättävä tietoisuutta hyödyntämisestä ja johdettava uusien ennaltaehkäisyn kehittämiseen tekniikat.
Uusi portti on kohdennettu Windows 10: een
Uudet satamakohteet Windows 10 x64 -versio 1511 koodinimellä Threshold 2 julkaistiin marraskuussa. Se tuki Current Branch for Business -palvelua. Tutkijat onnistuivat ohittamaan Windows 10: ssä käyttöön otetut lieventämiset, jotka puuttuivat Windows XP: stä, 7: stä tai 8: sta, ja he pystyivät myös voittamaan EternalBlue-ohituksen DEP: lle ja ASLR: lle.
ShadowBrokersin vuodot olivat tilannekuvia NSA: n hyökkäysominaisuuksista eivätkä kuva heidän nykyisestä arsenaalistaan. Tähän mennessä NSA: lla on todennäköisesti Windows 10 -versio EternalBluesta, mutta tähän päivään asti tämä vaihtoehto ei ole ollut puolustajien käytettävissä.
Uskotaan, että NSA on saattanut ilmoittaa Microsoftille lähestyvästä ShadowBroker-vuotosta, jotta yritykselle jää riittävästi aikaa rakentaa, testata ja ottaa käyttöön MS17-010 ennen vuotoa.
Paras hyväksikäyttö
Dillonin mukaan paras hyökkääjän käytettävissä oleva hyöty on EternalBluen kyky helpottaa välittömästi etäkoodin luvatonta suorittamista Windowsissa.
Tehtävä onnistui murtamaan paljon uutta maata, ja Dillon sanoi, että tämä on kasa-spray-hyökkäys Windows-ytimeen. Heap-spray-hyökkäykset ovat todennäköisesti yksi vaikeimmista hyväksikäyttömuodoista erityisesti Windowsille, käyttöjärjestelmälle, jolla ei ole lähdekoodia.
Tällaisen kasasuihkutuksen suorittaminen Linuxissa olisi vaikeaa, mutta Dillonin mukaan se olisi helpompaa kuin tämä. Lisätietoja voit lataa PDF-raportti että RiskSensen tietoturvatutkijat julkaisivat tämän hyödyntämisen.
LIITTYVÄT TARINAT TARKISTAA:
- WannaCryn tekijät uhkaavat vapauttaa lisää haittaohjelmia Windows 10: een
- ESET julkaisee EternalBlue Vulnerability Checker -työkalun verkkohyökkäysten todentamiseen
- Adylkuzz, toinen laajamittainen Windowsin kyberhyökkäys, on tiettävästi matkalla
