NSA-urile Exploata EternalBlue a fost portat pe dispozitivele care rulează Windows 10 cu pălării albe și, din această cauză, fiecare versiune nepatched de Windows înapoi la XP poate fi afectată, o dezvoltare terifiantă, având în vedere că unul dintre cele mai puternice atacuri cibernetice făcută vreodată publică.
Cea mai bună apărare împotriva EternalBlue
Cercetătorii RiskSense au fost printre primii care au analizat EternalBlue și au ajuns la concluzia că nu vor elibera codul sursă pentru portul Windows 10. O asemenea, un asemenea. cea mai bună apărare împotriva EternalBlue rămâne să aplicați actualizarea MS17-010 furnizată de Microsoft în martie.
Cercetătorii RiskSense au publicat un raport care explică ce este necesar pentru a aduce exploatarea NSA Windows 10 și examinarea măsurilor implementate de Microsoft care ar putea menține aceste atacuri în mișcare redirecţiona.
Analistul principal de cercetare Sean Dillon a declarat că cercetarea a fost pentru securitatea informațiilor pălăria albă industria pentru a spori gradul de conștientizare a exploatărilor și a conduce la dezvoltarea de noi preveniri tehnici.
Noul port vizează Windows 10
Noul port vizează Windows 10 x64 versiunea 1511 Thenhold 2 cu numele de cod lansat în noiembrie. A sprijinit Sucursala actuală pentru afaceri. Cercetătorii au reușit să ocolească atenuările introduse în Windows 10 care lipseau din Windows XP, 7 sau 8 și, de asemenea, au reușit să învingă EternalBlue ocolit pentru DEP și ASLR.
Scurgerile ShadowBrokers erau instantanee ale capacităților ofensive ale NSA și nu o imagine a arsenalului lor actual. Până acum, NSA are probabil o versiune pentru Windows 10 a EternalBlue, dar până astăzi această opțiune nu a fost disponibilă pentru apărători.
Se crede că NSA ar fi putut alerta Microsoft despre scurgerea iminentă ShadowBroker pentru a oferi companiei suficient timp pentru a construi, testa și implementa MS17-010 înainte de scurgere.
Cel mai bun tip de exploatare
Potrivit lui Dillon, cel mai bun exploat pe care un atacator îl are la dispoziție este capacitatea EternalBlue de a facilita instantaneu executarea neautentificată a codului la distanță pe Windows.
Faptul a reușit să spargă o mulțime de terenuri noi și Dillon a spus că acesta este un atac de pulverizare asupra nucleului Windows. Atacurile cu pulverizare grea sunt probabil unul dintre cele mai dificile tipuri de exploatare special pentru Windows, un sistem de operare care nu are cod sursă disponibil.
Efectuarea unui astfel de spray heap pe Linux ar fi dificilă, dar ar fi mai ușoară decât aceasta, potrivit lui Dillon. Pentru mai multe informații, puteți descărcați raportul PDF că cercetătorii de securitate de la RiskSense au publicat despre acest exploit.
Povești corelate de verificat:
- Creatorii WannaCry amenință să lanseze mai multe programe malware pentru Windows 10
- ESET lansează instrumentul EternalBlue Vulnerability Checker pentru verificarea atacurilor cibernetice
- Adylkuzz, un alt atac cibernetic la scară largă pentru Windows, se pare că este pe drum
