NSA EternalBlue istismarı beyaz şapkalarla Windows 10 çalıştıran cihazlara taşındı ve bu nedenle, Windows'un XP'ye geri dönmeyen her sürümü etkilenebilir, EternalBlue düşünüldüğünde korkunç bir gelişme en güçlü siber saldırılardan biri hiç kamuoyuna açıklanmadı.
EternalBlue'ya karşı en iyi savunma
RiskSense'in araştırmacıları, EternalBlue'yu ilk analiz edenler arasındaydı ve Windows 10 bağlantı noktası için kaynak kodunu yayınlamayacakları sonucuna vardılar. Böyle. EternalBlue'ya karşı en iyi savunma Microsoft tarafından Mart ayında sağlanan MS17-010 güncellemesini uygulamak için kalır.
RiskSense araştırmacıları, NSA'nın kötüye kullanımından yararlanmak için neyin gerekli olduğunu açıklayan bir rapor yayınladı. Windows 10 ve Microsoft tarafından bu saldırıların devam etmesini sağlayabilecek önlemleri incelemek ileri.
Kıdemli araştırma analisti Sean Dillon, araştırmanın beyaz şapka bilgi güvenliği için olduğunu belirtti. istismarların farkındalığını artırmak ve yeni önleme yöntemlerinin geliştirilmesine öncülük etmek için endüstri teknikler.
Yeni bağlantı noktası Windows 10'u hedefliyor
Yeni liman hedefleri Windows 10 x64 sürüm 1511 kod adlı Threshold 2, Kasım ayında piyasaya sürüldü. İş için Güncel Şube'yi destekledi. Araştırmacılar, Windows 10'da tanıtılan ve Windows XP, 7 veya 8'de eksik olan azaltmaları atlamayı başardılar ve ayrıca DEP ve ASLR için atlanan EternalBlue'yu da yenebildiler.
ShadowBrokers'ın sızıntıları, NSA'nın mevcut cephaneliğinin bir görüntüsü değil, saldırı yeteneklerinin anlık görüntüleriydi. Şimdiye kadar, NSA muhtemelen bir Windows 10 EternalBlue sürümüne sahiptir, ancak bugüne kadar bu seçenek savunuculara sunulmamıştır.
NSA'nın, şirkete sızıntıdan önce MS17-010'u inşa etmek, test etmek ve dağıtmak için yeterli zaman vermek için yaklaşmakta olan ShadowBroker sızıntısı hakkında Microsoft'u uyarmış olabileceğine inanılıyor.
En iyi istismar türü
Dillon'a göre, bir saldırganın elindeki en iyi istismar, EternalBlue'nun Windows'ta kimliği doğrulanmamış uzaktan kod yürütülmesini anında kolaylaştırma yeteneğidir.
Bu başarı birçok yeni çığır açmayı başardı ve Dillon bunun Windows çekirdeğine yapılan bir yığın-sprey saldırısı olduğunu söyledi. Yığın püskürtme saldırıları, muhtemelen kaynak kodu olmayan bir işletim sistemi olan Windows için özellikle en zor istismar türlerinden biridir.
Dillon'a göre, Linux'ta böyle bir yığın püskürtme yapmak zor olurdu ama bundan daha kolay olurdu. Daha fazla bilgi için, PDF raporunu indir RiskSense'ten güvenlik araştırmacılarının bu istismar hakkında yayınladığı.
KONTROL ETMEK İÇİN İLGİLİ HİKAYELER:
- WannaCry'nin yaratıcıları, Windows 10'a daha fazla kötü amaçlı yazılım yayınlamakla tehdit ediyor
- ESET, siber saldırı doğrulaması için EternalBlue Vulnerability Checker aracını yayınladı
- Bir başka büyük ölçekli Windows siber saldırısı olan Adylkuzz'ın yolda olduğu bildiriliyor
