NSA „EternalBlue“ išnaudojimas buvo perkeltas į įrenginius, kuriuose veikia „Windows 10“, baltomis skrybėlėmis ir dėl to gali būti paveikta kiekviena „Windows XP“ nepašalinta versija, todėl „EternalBlue“ viena iš galingiausių kibernetinių atakų kada nors paviešinta.
Geriausia gynyba nuo „EternalBlue“
„RiskSense“ tyrėjai vieni pirmųjų analizavo „EternalBlue“ ir padarė išvadą, kad neišleis „Windows 10“ prievado šaltinio kodo. A toks. geriausia gynyba nuo „EternalBlue“ lieka taikyti MS17-010 atnaujinimą, kurį „Microsoft“ pateikė dar kovo mėnesį.
„RiskSense“ tyrėjai paskelbė ataskaitą, kurioje paaiškino, ko reikia, kad NSA išnaudotų „Windows 10“ ir „Microsoft“ įdiegtų priemonių, galinčių išlaikyti šias atakas, nagrinėjimas Persiųsti.
Vyresnysis tyrimų analitikas Seanas Dillonas teigė, kad tyrimai buvo skirti baltos skrybėlės informacijos saugumui pramonei didinti išmanymą apie išnaudojimą ir paskatinti kurti naują prevenciją technikos.
Naujasis prievadas skirtas „Windows 10“
Naujieji uosto taikiniai
„Windows 10 x64“ 1511 versija kodiniu pavadinimu „Threshold 2“ išleistas dar lapkritį. Jis palaikė dabartinį verslo skyrių. Tyrėjams pavyko apeiti „Windows 10“ įdiegtus švelninimo būdus, kurių nebuvo sistemoje „Windows XP“, 7 ar 8, ir jie taip pat sugebėjo nugalėti „EternalBlue“, apeinamą DEP ir ASLR.„ShadowBrokers“ nutekėjimai buvo NSA puolamųjų galimybių akimirkos, o ne dabartinio jų arsenalo vaizdas. Iki šiol NSA tikriausiai turi „Windows 10“ versiją „EternalBlue“, tačiau iki šiol šios galimybės gynėjai neturėjo.
Manoma, kad NSA galėjo įspėti „Microsoft“ apie artėjantį „ShadowBroker“ nutekėjimą, kad suteiktų įmonei pakankamai laiko sukurti, išbandyti ir įdiegti MS17-010 prieš nutekėjimą.
Geriausias išnaudojimo tipas
Anot Dillono, geriausias užpuoliko išnaudojimas yra „EternalBlue“ galimybė akimirksniu palengvinti neteisėtą nuotolinio kodo vykdymą sistemoje „Windows“.
Žygdarbiui pavyko nulaužti daugybę naujų vietų, o Dillonas teigė, kad tai yra „Windows“ branduolio išpuolis. „Heap-spray“ atakos yra turbūt vienas sunkiausių išnaudojimo būdų, specialiai skirtas „Windows“, OS, kurios šaltinio kodas nėra prieinamas.
Dillono teigimu, atlikti tokį krūvos purškimą „Linux“ būtų sunku, bet tai būtų lengviau. Norėdami gauti daugiau informacijos, galite atsisiųskite PDF ataskaitą kad saugumo tyrėjai iš „RiskSense“ paskelbė apie šį išnaudojimą.
Susijusios istorijos, kurias reikia patikrinti:
- „WannaCry“ kūrėjai grasina išleisti daugiau kenkėjiškų programų į „Windows 10“
- ESET išleidžia kibernetinių atakų tikrinimo įrankį „EternalBlue“ pažeidžiamumo tikrinimo įrankį
- Pranešama, kad „Adylkuzz“ - dar viena didelio masto „Windows“ kibernetinė ataka
