Експлоатацията EternalBlue на NSA беше пренесена на устройства, работещи под Windows 10, с бели шапки и поради това всяка незападнала версия на Windows обратно към XP може да бъде засегната, ужасяващо развитие предвид EternalBlue е една от най-мощните кибератаки, публикувани някога.

Най-добрата защита срещу EternalBlue

Изследователите на RiskSense бяха сред първите, които анализираха EternalBlue и стигнаха до извода, че няма да пуснат изходния код за портата Windows 10. А такъв. най-добрата защита срещу EternalBlue остава да приложи актуализацията на MS17-010, предоставена от Microsoft през март.

Изследователите на RiskSense публикуваха доклад, в който обясняват какво е необходимо за привеждане на експлоатацията на NSA в Windows 10 и изследват мерките, прилагани от Microsoft, които могат да поддържат тези атаки напред.

Старши изследователски анализатор Шон Дилън заяви, че изследването е за индустрията за сигурност на информационната сигурност с бяла шапка, за да повиши осведомеността за подвизите и да доведе до разработването на нови техники за превенция.

Новият порт е насочен към Windows 10

Новият порт е насочен към Windows 10 x64 версия 1511 с кодово наименование Threshold 2, пуснат през ноември. Той поддържаше текущия клон за бизнеса. Изследователите успяха да заобиколят смекчаването, въведено в Windows 10, които липсваха на Windows XP, 7 или 8 и те също бяха в състояние да победят EternalBlue, заобиколен за DEP и ASLR.

Течовете на ShadowBrokers бяха моментни снимки на офанзивните възможности на NSA, а не изображение на техния настоящ арсенал. Към момента NSA вероятно има версия на Windows 10 на EternalBlue, но до днес тази опция не е била достъпна за защитниците.

Смята се, че NSA може да е алармирал Microsoft за предстоящия теч на ShadowBroker, за да даде на компанията достатъчно време да изгради, тества и внедри MS17-010 преди изтичането.

Най-добрият тип експлоатация

Според Dillon, най-добрият експлоататор, който атакуващият има на разположение, е способността на EternalBlue незабавно да улеснява неоторизираното изпълнение на отдалечен код в Windows.

Подвигът успя да пробие много ново основание и Дилън каза, че това е атака срещу струпване върху ядрото на Windows. Атаките срещу пръскане вероятно са един от най-трудните видове експлоатация специално за Windows, ОС, която няма наличен изходен код.

Извършването на такъв спрей в Linux би било трудно, но би било по-лесно от това, според Dillon. За повече информация можете да изтеглите PDF доклада, който изследователите по сигурността от RiskSense публикуват на този подвиг.