Využívanie EternalBlue od NSA bolo prenášané na zariadenia so systémom Windows 10 pomocou bielych klobúkov, a preto môže byť ovplyvnená každá nepárovaná verzia systému Windows späť do XP, a hrozivý vývoj, ktorý sa týka EternalBlue, je jedným z najsilnejších kybernetických útokov, ktoré sa kedy zverejnili.

Najlepšia obrana proti EternalBlue

Vedci spoločnosti RiskSense boli medzi prvými, ktorí analyzovali EternalBlue, a dospeli k záveru, že neuvoľnia zdrojový kód pre port Windows 10. Taký. najlepšou obranou proti spoločnosti EternalBlue zostáva použitie aktualizácie MS17-010, ktorú spoločnosť Microsoft poskytla v marci.

Vedci spoločnosti RiskSense zverejnili správu, v ktorej vysvetlia, čo je potrebné na to, aby NSA využil systém Windows 10, a preskúmajú opatrenia zavedené spoločnosťou Microsoft, ktoré by mohli tieto útoky udržať vpred.

Vedecký výskumný analytik Sean Dillon uviedol, že výskum bol zameraný na priemysel informačnej bezpečnosti v oblasti bielych klobúkov s cieľom zvýšiť informovanosť o zneužívaní a viesť k vývoju nových metód prevencie.

Nový port je zameraný na Windows 10

Nový port sa zameriava na systém Windows 10 x64 verzie 1511 s kódovým označením Threshold 2, ktorý bol prepustený v novembri. Podporila súčasnú pobočku pre podnikanie. Výskumníkom sa podarilo obísť zmiernenia zavedené v systéme Windows 10, ktoré chýbali v systéme Windows XP, 7 alebo 8, a tiež dokázali poraziť obtok EternalBlue pre DEP a ASLR.

Úniky ShadowBrokers boli snímkami útočných schopností NSA a nie predstavou o ich súčasnom arzenáli. V súčasnosti má NSA pravdepodobne verziu EternalBlue pre systém Windows 10, ale obhajcovia doteraz túto možnosť nemali.

Predpokladá sa, že NSA mohol upozorniť spoločnosť Microsoft na blížiaci sa únik ShadowBroker, aby poskytla spoločnosti dostatok času na zostavenie, testovanie a nasadenie MS17-010 pred únikom.

Najlepšie využitie

Podľa Dillona je najlepším zneužitím, ktorý má útočník k dispozícii, schopnosť EternalBlue okamžite uľahčiť neoverené vykonanie vzdialeného kódu na Windows.

Tento výkon sa podarilo prelomiť veľa nových možností a Dillon povedal, že ide o útok na haldu spreju na jadro Windows. Útoky s hromadou haldy sú pravdepodobne jedným z najťažších typov zneužitia špecificky pre Windows, OS, ktorý nemá zdrojový kód k dispozícii.

Vykonanie takéhoto spreju haldy v systéme Linux by bolo ťažké, ale podľa Dillona by bolo jednoduchšie ako toto. Ak chcete získať ďalšie informácie, môžete si stiahnuť správu PDF, ktorú o tomto zneužití publikovali vedci v oblasti bezpečnosti od spoločnosti RiskSense.