Da NSA Exploit EternalBlue foi portado para dispositivos que executam o Windows 10 por chapéus brancos e, por causa disso, todas as versões não corrigidas do Windows para o XP podem ser afetadas, um desenvolvimento assustador, considerando que o EternalBlue é um dos ataques cibernéticos mais poderosos já tornado público.
A melhor defesa contra EternalBlue
Os pesquisadores do RiskSense estavam entre os primeiros a analisar o EternalBlue e concluíram que não liberariam o código-fonte para a porta do Windows 10. Um tal. a melhor defesa contra o EternalBlue continua a aplicar a atualização MS17-010 fornecida pela Microsoft em março.
Os pesquisadores do RiskSense publicaram um relatório explicando o que era necessário para trazer a exploração da NSA para Windows 10 e exame das medidas implementadas pela Microsoft que poderiam manter esses ataques em movimento frente.
O analista de pesquisa sênior Sean Dillon afirmou que a pesquisa era para a segurança da informação de chapéu branco indústria para aumentar a conscientização sobre as façanhas e levar ao desenvolvimento de novas formas de prevenção técnicas.
A nova porta tem como alvo o Windows 10
Os novos alvos de porta Windows 10 x64 versão 1511 O codinome Threshold 2 foi lançado em novembro. Apoiava o Current Branch for Business. Os pesquisadores conseguiram contornar as atenuações introduzidas no Windows 10 que estavam faltando no Windows XP 7 ou 8 e também conseguiram derrotar o EternalBlue contornado para DEP e ASLR.
Os vazamentos do ShadowBrokers eram instantâneos das capacidades ofensivas da NSA e não uma imagem de seu arsenal atual. Até agora, a NSA provavelmente tem uma versão do EternalBlue para Windows 10, mas até hoje, esta opção não estava disponível para os defensores.
Acredita-se que a NSA pode ter alertado a Microsoft sobre o vazamento iminente do ShadowBroker para dar à empresa tempo suficiente para construir, testar e implantar o MS17-010 antes do vazamento.
O melhor tipo de exploit
De acordo com Dillon, a melhor exploração que um invasor tem à sua disposição é a capacidade do EternalBlue de facilitar instantaneamente a execução não autenticada de código remoto no Windows.
A façanha conseguiu abrir muitos novos caminhos e Dillon disse que este é um ataque heap-spray no kernel do Windows. Ataques heap-spray são provavelmente um dos tipos mais difíceis de exploração especificamente para Windows, um sistema operacional que não tem código-fonte disponível.
Executar esse spray heap no Linux seria difícil, mas seria mais fácil do que isso, de acordo com Dillon. Para obter mais informações, você pode baixe o relatório em PDF que os pesquisadores de segurança da RiskSense publicaram sobre este exploit.
HISTÓRIAS RELACIONADAS PARA VERIFICAR:
- Os criadores do WannaCry ameaçam lançar mais malware para o Windows 10
- ESET lança ferramenta Verificador de vulnerabilidade EternalBlue para verificação de ataque cibernético
- Adylkuzz, outro ataque cibernético em larga escala ao Windows, está supostamente a caminho
