Využití EternalBlue od NSA bylo přeneseno na zařízení se systémem Windows 10 bílými klobouky, a proto může být ovlivněna každá nepatřená verze Windows zpět do XP, což je hrozivý vývoj, pokud jde o EternalBlue, jeden z nejsilnějších kybernetických útoků, který byl kdy zveřejněn.

Nejlepší obrana proti EternalBlue

Výzkumníci RiskSense byli mezi prvními, kteří analyzovali EternalBlue, a dospěli k závěru, že nevydají zdrojový kód pro port Windows 10. Takový. nejlepší obranou proti EternalBlue zůstává použití aktualizace MS17-010, kterou společnost Microsoft poskytla v březnu.

Výzkumníci RiskSense zveřejnili zprávu vysvětlující, co je nezbytné k tomu, aby NSA využil Windows 10, a zkoumá opatření zavedená společností Microsoft, která by mohla tyto útoky držet vpřed.

Vedoucí výzkumný analytik Sean Dillon uvedl, že výzkum byl zaměřen na bezpečnost informačních technologií v oblasti bílého klobouku, aby se zvýšila informovanost o zneužívání a vedla k vývoji nových preventivních technik.

Nový port je zaměřen na Windows 10

Nový port se zaměřuje na Windows 10 x64 verze 1511 s kódovým názvem Threshold 2, který byl uveden na trh v listopadu. Podporoval Current Branch for Business. Výzkumníkům se podařilo obejít mitigace zavedené v systému Windows 10, které chyběly v systémech Windows XP, 7 nebo 8, a také byli schopni porazit obtok EternalBlue pro DEP a ASLR.

Úniky ShadowBrokers byly snímky útočných schopností NSA a ne představou o jejich současném arzenálu. V současné době má NSA pravděpodobně verzi EternalBlue pro Windows 10, ale do dnešní doby nebyla tato možnost dostupná pro obránce.

Předpokládá se, že NSA mohla upozornit společnost Microsoft na blížící se únik ShadowBroker, aby společnosti poskytla dostatek času na sestavení, testování a nasazení MS17-010 před únikem.

Nejlepší typ vykořisťování

Podle Dillona je nejlepším využíváním, které má útočník k dispozici, schopnost EternalBlue okamžitě usnadnit neověřené spuštění vzdáleného kódu na Windows.

Výkon se podařilo prolomit spoustu nových věcí a Dillon prohlásil, že se jedná o útok na haldu spreje na jádro Windows. Útoky na haldy jsou pravděpodobně jedním z nejobtížnějších typů vykořisťování konkrétně pro Windows, OS, který nemá zdrojový kód k dispozici.

Provedení takového spreju haldy na Linuxu by bylo těžké, ale podle Dillona by bylo jednodušší než tohle. Pro více informací si můžete stáhnout zprávu PDF, kterou vědci zabývající se bezpečností publikovali o tomto zneužití.