NSA: erna EternalBlue utnyttjar portades till enheter som kör Windows 10 av vita hattar och på grund av detta kan alla opatchade versioner av Windows tillbaka till XP påverkas, en skrämmande utveckling med tanke på EternalBlue är en av de mest kraftfulla cyberattackerna någonsin offentliggjord.
Det bästa försvaret mot EternalBlue
RiskSense: s forskare var bland de första som analyserade EternalBlue och drog slutsatsen att de inte skulle släppa källkoden för Windows 10-porten. En sån. det bästa försvaret mot EternalBlue återstår att tillämpa MS17-010-uppdateringen från Microsoft redan i mars.
RiskSense-forskare publicerade en rapport som förklarade vad som var nödvändigt för att NSA skulle utnyttjas till Windows 10 och undersöka de åtgärder som implementerats av Microsoft som kan hålla dessa attacker i rörelse fram.
Senior forskningsanalytiker Sean Dillon uppgav att forskningen gällde informationssäkerheten för den vita hatten för att öka medvetenheten om exploateringen och leda till utvecklingen av nytt förebyggande tekniker.
Den nya porten riktar sig till Windows 10
Den nya hamnen är inriktad Windows 10 x64 version 1511 kodnamnet Threshold 2 släpptes tillbaka i november. Den stödde Current Branch for Business. Forskare lyckades kringgå mildringar som introducerades i Windows 10 som saknades i Windows XP, 7 eller 8 och de kunde också besegra EternalBlue förbi för DEP och ASLR.
ShadowBrokers läckor var ögonblicksbilder av NSA: s offensiva kapacitet och inte en bild av deras nuvarande arsenal. Nu har NSA förmodligen en Windows 10-version av EternalBlue men fram till idag har detta alternativ inte varit tillgängligt för försvarare.
Man tror att NSA kan ha varnat Microsoft om den förestående ShadowBroker-läckan för att ge företaget tillräckligt med tid för att bygga, testa och distribuera MS17-010 före läckan.
Den bästa typen av exploatering
Enligt Dillon är det bästa utnyttjandet en angripare har till sitt förfogande EternalBlues förmåga att omedelbart underlätta obehörig körning av fjärrkod i Windows.
Prestationen lyckades bryta en hel del ny mark och Dillon sa att detta är en högsprayattack på Windows-kärnan. Heap-spray attacker är förmodligen en av de svåraste typerna av exploatering speciellt för Windows, ett operativsystem som inte har källkod tillgänglig.
Att utföra en sådan högspray på Linux skulle vara svårt men skulle vara lättare än detta, enligt Dillon. För mer information kan du ladda ner PDF-rapporten som säkerhetsforskare från RiskSense publicerade om detta utnyttjande.
RELATERADE BERÄTTELSER FÖR ATT KONTROLLERA:
- WannaCrys skapare hotar att släppa mer skadlig kod till Windows 10
- ESET släpper verktyget EternalBlue Vulnerability Checker för verifiering av cyberattacker
- Adylkuzz, en annan storskalig Windows-cyberattack, är enligt uppgift på väg
