Експлоатація EternalBlue NSA була перенесена на пристрої під управлінням Windows 10 білими капелюшками, і через це може бути постраждала кожна непатована версія Windows назад до XP, жахливий розвиток, враховуючи, що EternalBlue є однією з найпотужніших кібер-атак, що коли-небудь оприлюднювались.

Найкращий захист від EternalBlue

Дослідники RiskSense одними з перших проаналізували EternalBlue і дійшли висновку, що вони не випускають вихідний код для порту Windows 10. А такий. найкращим захистом від EternalBlue залишається застосувати оновлення MS17-010, надане Microsoft ще в березні.

Дослідники RiskSense опублікували звіт, в якому пояснили, що потрібно для того, щоб застосувати експлуатацію NSA до Windows 10, а також вивчили заходи, реалізовані Microsoft, які могли б тримати ці атаки вперед.

Старший науковий аналітик Шон Діллон заявив, що дослідження - це галузь інформаційної безпеки білого капелюха, щоб підвищити обізнаність про подвиги та призвести до розробки нових методів профілактики.

Новий порт орієнтований на Windows 10

Новий порт націлений на Windows 10 x64 версії 1511 з кодовою назвою Threshold 2, випущений ще в листопаді. Він підтримував поточну галузь для бізнесу. Дослідникам вдалося обійти пом'якшення, введені в Windows 10, відсутніх у Windows XP, 7 або 8, і вони також змогли перемогти EternalBlue в обхід для DEP та ASLR.

Протікання ShadowBrokers були знімками наступальних можливостей АНБ, а не зображення їх нинішнього арсеналу. Наразі в АНБ, ймовірно, є версія Windows 10 EternalBlue, але до сьогодні ця опція недоступна для захисників.

Вважається, що АНБ, можливо, попередило Microsoft про майбутній витік ShadowBroker, щоб дати компанії достатньо часу для створення, тестування та розгортання MS17-010 перед витоком.

Найкращий тип експлуатації

За словами Діллона, найкращий експлуатуючий зловмисник у його розпорядженні - це здатність EternalBlue миттєво полегшувати несанкціоноване виконання віддаленого коду в Windows.

Подвигу вдалося зламати багато нового ґрунту, і Діллон сказав, що це атака купі-спрею на ядро ​​Windows. Атаки із розпорошенням купи - це, мабуть, один із найскладніших видів експлуатації спеціально для Windows, ОС, у якої немає вихідного коду.

Діллон, виконувати такий кущовий спрей на Linux, було б важко, але було б простіше, ніж це. Для отримання додаткової інформації ви можете завантажити PDF-звіт, який дослідники з безпеки RiskSense опублікували на цьому подвигу.