NSA EternalBlue izkoriščanje je bil v naprave s sistemom Windows 10 prenesen z belimi klobuki in zaradi tega lahko vpliva na vsako neprimerjeno različico sistema Windows nazaj v XP, grozljiv razvoj, če upoštevamo EternalBlue eden najmočnejših kibernetskih napadov kdaj javno objavljeno.
Najboljša obramba pred EternalBlue
Raziskovalci RiskSense so bili med prvimi, ki so analizirali EternalBlue, in ugotovili, da ne bodo izdali izvorne kode za vrata Windows 10. Takšen. najboljša obramba pred EternalBlue še vedno velja posodobitev MS17-010, ki jo je Microsoft zagotovil že marca.
Raziskovalci RiskSense so objavili poročilo, v katerem so pojasnili, kaj je bilo potrebno, da se izkoristi NSA Windows 10 in preučitev ukrepov, ki jih je Microsoft uvedel, da bi lahko te napade nadaljevali naprej.
Starejši raziskovalni analitik Sean Dillon je izjavil, da je bila raziskava namenjena informacijski varnosti ozaveščati o podvigih in voditi k razvoju novih preventivnih ukrepov tehnike.
Nova vrata so namenjena sistemu Windows 10
Nova ciljna vrata Windows 10 x64 različica 1511 s kodnim imenom Threshold 2, izdan novembra. Podpiral je Current Branch for Business. Raziskovalcem je uspelo zaobiti omilitve, uvedene v operacijskem sistemu Windows 10, ki so manjkale v operacijskem sistemu Windows XP, 7 ali 8, uspeli pa so tudi premagati EternalBlue, zaobideni za DEP in ASLR.
Puščanja ShadowBrokers so bili posnetki žaljivih zmogljivosti NSA in ne podoba njihovega trenutnega arzenala. Do zdaj ima NSA verjetno različico EternalBlue za Windows 10, vendar do danes ta možnost ni bila na voljo zagovornikom.
Verjame se, da je NSA morda Microsoft opozoril na bližajoče se puščanje ShadowBrokerja, da bi imel podjetje dovolj časa za izdelavo, testiranje in uvedbo MS17-010 pred uhajanjem.
Najboljša vrsta izkoriščanja
Po mnenju Dillona je najboljši izkoriščevalec, ki ga ima na razpolago, sposobnost EternalBluea, da takoj olajša neupravičeno izvajanje oddaljene kode v sistemu Windows.
Podvig je uspel prebiti veliko novih temeljev in Dillon je dejal, da gre za napad s pršilom na jedro sistema Windows. Napadi z razprševanjem kopice so verjetno ena najtežjih vrst izkoriščanja posebej za Windows, OS, ki nima na voljo izvorne kode.
Izvajanje takšnega razprševanja kopice v Linuxu bi bilo težko, vendar bi bilo lažje od tega, meni Dillon. Za več informacij lahko prenesite poročilo PDF ki so jih raziskovalci varnosti iz podjetja RiskSense objavili o tem podvigu.
POVEZANE ZGODBE ZA OGLAŠEVANJE:
- Ustvarjalci WannaCry grozijo, da bodo v sistem Windows 10 izdali več zlonamerne programske opreme
- ESET je izdal orodje EternalBlue Vulnerability Checker za preverjanje kibernetskih napadov
- Adylkuzz, še en obsežen kibernetski napad na Windows, naj bi bil na poti
