NSAs EternalBlue-utnyttelse ble portert til enheter som kjører Windows 10 av hvite hatter, og på grunn av dette kan enhver usendt versjon av Windows tilbake til XP bli påvirket, en skremmende utvikling som vurderer EternalBlue er et av de kraftigste cyberangrepene som noensinne er blitt offentliggjort.

Det beste forsvaret mot EternalBlue

RiskSenses forskere var blant de første til å analysere EternalBlue og konkluderte med at de ikke ville gi ut kildekoden for Windows 10-porten. En slik. det beste forsvaret mot EternalBlue gjenstår å bruke MS17-010-oppdateringen levert av Microsoft tilbake i mars.

Forskere fra RiskSense publiserte en rapport som forklarte hva som var nødvendig for å bringe NSA-utnyttelsen til Windows 10 og undersøke tiltakene implementert av Microsoft som kan holde disse angrepene fremover.

Senior forskningsanalytiker Sean Dillon uttalte at forskningen var for informasjonssikkerhetsindustrien med hvit hatt for å øke bevisstheten om utnyttelsene og føre til utvikling av nye forebyggingsteknikker.

Den nye porten er rettet mot Windows 10

Den nye porten er rettet mot Windows 10 x64 versjon 1511 kodenavnet Threshold 2 ble utgitt i november. Det støttet Current Branch for Business. Forskere klarte å omgå reduksjoner introdusert i Windows 10 som manglet fra Windows XP, 7 eller 8, og de var også i stand til å beseire EternalBlue omgått for DEP og ASLR.

ShadowBrokers lekkasjer var øyeblikksbilder av NSAs offensive evner og ikke et bilde av deres nåværende arsenal. Nå har NSA sannsynligvis en Windows 10-versjon av EternalBlue, men frem til i dag har ikke dette alternativet vært tilgjengelig for forsvarere.

Det antas at NSA kan ha varslet Microsoft om den forestående ShadowBroker-lekkasjen til å gi selskapet nok tid til å bygge, teste og distribuere MS17-010 før lekkasjen.

Den beste typen utnytte

Ifølge Dillon er den beste utnyttelsen en angriper har til rådighet EternalBlue evne til å øyeblikkelig muliggjøre uautentifisert utførelse av ekstern kode på Windows.

Bragden klarte å bryte mye ny mark og Dillon sa at dette er et høye-spray angrep på Windows-kjernen. Heap-spray-angrep er sannsynligvis en av de vanskeligste utnyttingstypene spesielt for Windows, et operativsystem som ikke har kildekode tilgjengelig.

Det ville være tøft å utføre en slik massesprøyte på Linux, men ifølge Dillon ville det være enklere enn dette. For mer informasjon, kan du laste ned PDF-rapporten som sikkerhetsforskere fra RiskSense publiserte om denne utnyttelsen.