La NSA Exploit di EternalBlue è stato portato su dispositivi che eseguono Windows 10 da cappelli bianchi e per questo motivo, ogni versione senza patch di Windows torna a XP può essere interessata, uno sviluppo terrificante considerando che EternalBlue è uno dei più potenti attacchi informatici mai reso pubblico.
La miglior difesa contro EternalBlue
I ricercatori di RiskSense sono stati tra i primi ad analizzare EternalBlue e hanno concluso che non avrebbero rilasciato il codice sorgente per la porta di Windows 10. Un tale. la miglior difesa contro EternalBlue resta da applicare l'aggiornamento MS17-010 fornito da Microsoft a marzo.
I ricercatori di RiskSense hanno pubblicato un rapporto che spiega cosa era necessario per portare l'exploit della NSA a Windows 10 ed esaminando le misure implementate da Microsoft che potrebbero mantenere attivi questi attacchi inoltrare.
L'analista di ricerca senior Sean Dillon ha dichiarato che la ricerca era per la sicurezza informatica del cappello bianco l'industria per aumentare la consapevolezza degli exploit e portare allo sviluppo di nuove misure di prevenzione tecniche.
La nuova porta è destinata a Windows 10
I nuovi obiettivi del porto Windows 10 x64 versione 1511 nome in codice Threshold 2 rilasciato a novembre. Supportava Current Branch for Business. I ricercatori sono riusciti a bypassare le mitigazioni introdotte in Windows 10 che mancavano da Windows XP, 7 o 8 e sono stati anche in grado di sconfiggere EternalBlue bypassato per DEP e ASLR.
Le fughe di notizie di ShadowBrokers erano istantanee delle capacità offensive della NSA e non un'immagine del loro attuale arsenale. Ormai, la NSA ha probabilmente una versione Windows 10 di EternalBlue, ma fino ad oggi questa opzione non era disponibile per i difensori.
Si ritiene che la NSA possa aver avvisato Microsoft dell'imminente fuga di ShadowBroker per dare all'azienda abbastanza tempo per costruire, testare e distribuire l'MS17-010 prima della fuga di notizie.
Il miglior tipo di exploit
Secondo Dillon, il miglior exploit che un utente malintenzionato ha a sua disposizione è la capacità di EternalBlue di facilitare istantaneamente l'esecuzione non autenticata di codice remoto su Windows.
L'impresa è riuscita a aprire molte nuove strade e Dillon ha affermato che si tratta di un attacco heap-spray al kernel di Windows. Gli attacchi heap-spray sono probabilmente uno dei tipi di sfruttamento più difficili specificamente per Windows, un sistema operativo che non ha il codice sorgente disponibile.
Secondo Dillon, eseguire un tale heap spray su Linux sarebbe difficile, ma sarebbe più facile di così. Per maggiori informazioni puoi scarica il report in PDF che i ricercatori di sicurezza di RiskSense hanno pubblicato su questo exploit.
STORIE CORRELATE DA VERIFICARE:
- I creatori di WannaCry minacciano di rilasciare più malware su Windows 10
- ESET rilascia lo strumento EternalBlue Vulnerability Checker per la verifica degli attacchi informatici
- Secondo quanto riferito, Adylkuzz, un altro attacco informatico di Windows su larga scala, è in arrivo
