NSA Eksploatacja EternalBlue został przeniesiony na urządzenia z systemem Windows 10 przez białe kapelusze i z tego powodu może mieć to wpływ na każdą niezałataną wersję systemu Windows z powrotem do XP, co jest przerażającym rozwojem, biorąc pod uwagę, że EternalBlue jest jeden z najpotężniejszych cyberataków kiedykolwiek upublicznione.
Najlepsza obrona przed EternalBlue
Badacze RiskSense byli jednymi z pierwszych, którzy przeanalizowali EternalBlue i doszli do wniosku, że nie udostępnią kodu źródłowego dla portu Windows 10. Taki. najlepsza obrona przed EternalBlue pozostaje zastosować aktualizację MS17-010 dostarczoną przez firmę Microsoft w marcu.
Badacze RiskSense opublikowali raport wyjaśniający, co było konieczne, aby wykorzystać exploit NSA do: Windows 10 i zbadanie środków wdrożonych przez Microsoft, które mogą utrzymać te ataki w ruchu Naprzód.
Starszy analityk ds. badań Sean Dillon stwierdził, że badania dotyczyły bezpieczeństwa informacji białych kapeluszy przemysł w celu zwiększenia świadomości na temat wyczynów i doprowadzenia do opracowania nowej profilaktyki techniki.
Nowy port jest skierowany do systemu Windows 10
Nowe cele portowe Windows 10 x64 wersja 1511 o kryptonimie Threshold 2 wydany w listopadzie. Wspomagał Current Branch for Business. Naukowcom udało się ominąć środki łagodzące wprowadzone w systemie Windows 10, których brakowało w systemach Windows XP, 7 lub 8, a także byli w stanie pokonać EternalBlue ominiętego w przypadku DEP i ASLR.
Przecieki ShadowBrokers były migawkami ofensywnych możliwości NSA, a nie obrazem ich obecnego arsenału. Do tej pory NSA prawdopodobnie ma wersję EternalBlue dla systemu Windows 10, ale do dziś ta opcja nie była dostępna dla obrońców.
Uważa się, że NSA mogła ostrzec Microsoft o zbliżającym się wycieku ShadowBroker, aby dać firmie wystarczająco dużo czasu na zbudowanie, przetestowanie i wdrożenie MS17-010 przed wyciekiem.
Najlepszy rodzaj exploita
Według Dillona najlepszym exploitem, jakim ma do dyspozycji atakujący, jest zdolność EternalBlue do natychmiastowego ułatwienia nieuwierzytelnionego wykonania zdalnego kodu w systemie Windows.
Wyczyn ten zdołał przełamać wiele nowych możliwości, a Dillon powiedział, że jest to atak typu „heap-spray” na jądro systemu Windows. Ataki typu Heap-spray są prawdopodobnie jednym z najtrudniejszych rodzajów wykorzystania, szczególnie dla systemu Windows, systemu operacyjnego, który nie ma dostępnego kodu źródłowego.
Wykonanie takiego rozpylenia stosu na Linuksie byłoby trudne, ale byłoby łatwiejsze, według Dillona. Aby uzyskać więcej informacji, możesz pobierz raport PDF że analitycy bezpieczeństwa z RiskSense opublikowali ten exploit.
POWIĄZANE HISTORIE DO SPRAWDZENIA:
- Twórcy WannaCry grożą, że wypuszczą więcej złośliwego oprogramowania na Windows 10
- ESET wydaje narzędzie EternalBlue Vulnerability Checker do weryfikacji cyberataków
- Podobno zbliża się Adylkuzz, kolejny cyberatak na dużą skalę na Windows
