Az NSA EternalBlue kihasználtságát fehér sapkákkal továbbították a Windows 10 operációs rendszert futtató eszközökre, és emiatt minden Windows nem XP-hez kiadott verzióját ez befolyásolhatja. Egy félelmetes fejlemény az EternalBlue az egyik legerősebb számítógépes támadás, amelyet valaha nyilvánosságra hoztak.

A legjobb védelem az EternalBlue ellen

A RiskSense kutatói az elsők között elemezték az EternalBlue elemzését, és arra a következtetésre jutottak, hogy nem adják ki a Windows 10 port forráskódját. Egy ilyen. továbbra is a legjobb védelem az EternalBlue ellen az MS17-010 frissítés, amelyet a Microsoft nyújt már márciusban.

A RiskSense kutatói jelentést tettek közzé, amelyben elmagyarázták, mi szükséges az NSA kihasználásának a Windows 10-hez való eljuttatásához, és megvizsgálták a Microsoft által bevezetett intézkedéseket, amelyek ezeket a támadásokat tovább haladhatják.

Sean Dillon, a kutatás vezető elemzője kijelentette, hogy a kutatás a fehér kalapok információbiztonsági iparának célja a kizsákmányolás tudatosságának növelése és új megelőzési technikák kifejlesztéséhez vezet.

Az új port a Windows 10-et célozza meg

Az új port a Windows 10 x64 1511-es verzióját célozza meg, amelynek küszöbértéke a 2. küszöb, a novemberben jelenik meg. Támogatta a jelenlegi üzleti fiókot. A kutatóknak sikerült megkerülni a Windows 10-ben bevezetett olyan enyhítéseket, amelyek hiányoztak a Windows XP, 7 vagy 8-ból, és képesek voltak legyőzni az EternalBlue-t, amelyet megkerültek a DEP és az ASLR számára.

A ShadowBrokers szivárgásai az NSA támadó képességeinek pillanatképei voltak, nem pedig a jelenlegi arzenáluk képe. Mostanra az NSA valószínűleg rendelkezik az EternalBlue Windows 10 verziójával, de a mai napig ez a lehetőség nem volt elérhető a védők számára.

Úgy gondolják, hogy az NSA figyelmeztette a Microsoftot a küszöbön álló ShadowBroker szivárgásról, hogy elegendő időt adjon a vállalatnak az MS17-010 felépítésére, tesztelésére és telepítésére a szivárgás előtt.

A legjobb típusú kizsákmányolás

Dillon szerint a támadó legjobban kihasználja az EternalBlue azon képességét, hogy azonnal megkönnyítse a távoli kód hitelesítetlen végrehajtását a Windows rendszeren.

A feat nagy sok új teret tudott megtörni, és Dillon azt mondta, hogy ez egy halompermet-támadás a Windows kernelén. A halompermetezéses támadások valószínűleg az egyik legnehezebb kizsákmányolási típus, kifejezetten a Windows számára, olyan operációs rendszerben, amelyben nem áll rendelkezésre forráskód.

Ilyen nehéz halompermet Linuxon végrehajtani nehéz lenne, de Dillon szerint ennél könnyebb lenne. További információkért letöltheti azt a PDF-jelentést, amelyet a RiskSense biztonsági kutatói közzétettek ezzel a felhasználással.