De NSA's EternalBlue exploit werd door white hats geport naar apparaten met Windows 10 en hierdoor kan elke niet-gepatchte versie van Windows terug naar XP worden beïnvloed, een angstaanjagende ontwikkeling gezien EternalBlue is een van de krachtigste cyberaanvallen ooit openbaar gemaakt.
De beste verdediging tegen EternalBlue
De onderzoekers van RiskSense behoorden tot de eersten die EternalBlue analyseerden en concludeerden dat ze de broncode voor de Windows 10-poort niet zouden vrijgeven. Een dergelijke. de beste verdediging tegen EternalBlue blijft om de MS17-010-update toe te passen die in maart door Microsoft is geleverd.
Onderzoekers van RiskSense hebben een rapport gepubliceerd waarin wordt uitgelegd wat er nodig was om de NSA-exploit naar Windows 10 en het onderzoeken van de maatregelen die door Microsoft zijn geïmplementeerd om deze aanvallen in beweging te houden vooruit.
Senior onderzoeksanalist Sean Dillon verklaarde dat het onderzoek was bedoeld voor informatiebeveiliging met een witte hoed industrie om het bewustzijn van de exploits te vergroten en te leiden tot de ontwikkeling van nieuwe preventie technieken.
De nieuwe poort is gericht op Windows 10
De nieuwe havendoelen Windows 10 x64 versie 1511 codenaam Threshold 2 uitgebracht in november. Het ondersteunde Current Branch for Business. Onderzoekers slaagden erin om de in Windows 10 geïntroduceerde mitigaties te omzeilen die ontbraken in Windows XP, 7 of 8 en ze waren ook in staat om EternalBlue te verslaan die was omzeild voor DEP en ASLR.
De lekken van de ShadowBrokers waren momentopnamen van de offensieve capaciteiten van de NSA en geen beeld van hun huidige arsenaal. Inmiddels heeft de NSA waarschijnlijk een Windows 10-versie van EternalBlue, maar tot op heden was deze optie niet beschikbaar voor verdedigers.
Er wordt aangenomen dat de NSA Microsoft heeft gewaarschuwd over het dreigende ShadowBroker-lek om het bedrijf voldoende tijd te geven om de MS17-010 te bouwen, te testen en in te zetten vóór het lek.
Het beste type exploit
Volgens Dillon is de beste exploit die een aanvaller tot zijn beschikking heeft, het vermogen van EternalBlue om onmiddellijk niet-geverifieerde uitvoering van externe code op Windows mogelijk te maken.
De prestatie slaagde erin veel nieuwe wegen in te slaan en Dillon zei dat dit een heap-spray-aanval op de Windows-kernel is. Heap-spray-aanvallen zijn waarschijnlijk een van de moeilijkste vormen van uitbuiting, specifiek voor Windows, een besturingssysteem waarvoor geen broncode beschikbaar is.
Het uitvoeren van zo'n heap spray op Linux zou moeilijk zijn, maar zou volgens Dillon gemakkelijker zijn dan dit. Voor meer informatie kunt u download het pdf-rapport dat beveiligingsonderzoekers van RiskSense over deze exploit hebben gepubliceerd.
VERWANTE VERHALEN OM TE BEKIJKEN:
- De makers van WannaCry dreigen met het vrijgeven van meer malware voor Windows 10
- ESET brengt EternalBlue Vulnerability Checker-tool uit voor verificatie van cyberaanvallen
- Adylkuzz, een andere grootschalige Windows-cyberaanval, is naar verluidt onderweg
