Το EternalBlue exploit του NSA μεταφέρθηκε σε συσκευές που εκτελούν Windows 10 με λευκά καπέλα και εξαιτίας αυτού, μπορεί να επηρεαστεί κάθε μη κωδικοποιημένη έκδοση των Windows πίσω στο XP, μια τρομακτική εξέλιξη που θεωρεί ότι το EternalBlue είναι μία από τις πιο ισχυρές επιθέσεις στον κυβερνοχώρο που έγινε ποτέ δημόσια.

Η καλύτερη άμυνα εναντίον του EternalBlue

Οι ερευνητές του RiskSense ήταν μεταξύ των πρώτων που ανέλυσαν το EternalBlue και κατέληξαν στο συμπέρασμα ότι δεν θα απελευθερώσουν τον πηγαίο κώδικα για τη θύρα των Windows 10. Ένα τέτοιο. η καλύτερη άμυνα εναντίον του EternalBlue παραμένει να εφαρμόσει την ενημερωμένη έκδοση MS17-010 που παρέσχε η Microsoft το Μάρτιο.

Οι ερευνητές του RiskSense δημοσίευσαν μια έκθεση που εξηγεί τι ήταν απαραίτητο για να φέρει την εκμετάλλευση NSA στα Windows 10 και να εξετάσει τα μέτρα που εφαρμόζει η Microsoft, τα οποία θα μπορούσαν να κρατήσουν αυτές τις επιθέσεις σε εξέλιξη.

Ο ανώτερος ερευνητικός αναλυτής Sean Dillon δήλωσε ότι η έρευνα αφορούσε τη βιομηχανία ασφάλειας λευκών καπέλων για την ενημέρωση των εκμεταλλευτών και την ανάπτυξη νέων τεχνικών πρόληψης.

Η νέα θύρα στοχεύει τα Windows 10

Η νέα θύρα στοχεύει τα Windows 10 x64 έκδοση 1511 με την κωδική ονομασία Threshold 2 που κυκλοφόρησε το Νοέμβριο. Υποστήριξε το Current Branch for Business. Οι ερευνητές κατάφεραν να παρακάμψουν τους μετριασμούς που εισήχθησαν στα Windows 10 που λείπουν από τα Windows XP, 7 ή 8 και ήταν επίσης σε θέση να νικήσουν το EternalBlue παρακάμπτοντας το DEP και το ASLR.

Οι διαρροές του ShadowBrokers ήταν στιγμιότυπα των προσβλητικών δυνατοτήτων της NSA και όχι μια εικόνα του υπάρχοντος οπλοστασίου τους. Μέχρι τώρα, ο NSA έχει πιθανώς μια έκδοση των EternalBlue των Windows 10, αλλά μέχρι σήμερα, αυτή η επιλογή δεν ήταν διαθέσιμη στους υπερασπιστές.

Πιστεύεται ότι η NSA ενδέχεται να έχει ειδοποιήσει τη Microsoft για την επικείμενη διαρροή ShadowBroker για να δώσει στην εταιρεία αρκετό χρόνο για να χτίσει, να δοκιμάσει και να αναπτύξει το MS17-010 πριν τη διαρροή.

Ο καλύτερος τύπος εκμετάλλευσης

Σύμφωνα με τον Dillon, η καλύτερη εκμετάλλευση ενός εισβολέα έχει στη διάθεσή του η ικανότητα του EternalBlue να διευκολύνει άμεσα τη μη εξουσιοδοτημένη εκτέλεση απομακρυσμένου κώδικα στα Windows.

Το κατόρθωμα πέτυχε να σπάσει πολλά νέα εδάφους και ο Dillon είπε ότι πρόκειται για μια επίθεση με σπρέι στον πυρήνα των Windows. Οι επιθέσεις ψεκασμού με σμήνος είναι πιθανώς ένας από τους πιο δύσκολους τύπους εκμετάλλευσης ειδικά για τα Windows, ένα λειτουργικό σύστημα που δεν διαθέτει διαθέσιμο πηγαίο κώδικα.

Η εκτέλεση ενός τέτοιου ψεκασμού στο Linux θα ήταν δύσκολο αλλά θα ήταν ευκολότερο από αυτό, σύμφωνα με τον Dillon. Για περισσότερες πληροφορίες, μπορείτε να κατεβάσετε την αναφορά PDF που δημοσίευσαν οι ερευνητές ασφαλείας από το RiskSense σε αυτήν την εκμετάλλευση.