Эксплойт NSA EternalBlue был перенесен на устройства под управлением Windows 10 белыми шляпами, и из-за этого могут быть затронуты все непатентованные версии Windows обратно в XP, что является ужасающей разработкой, учитывая, что EternalBlue является одной из самых мощных кибератак, когда-либо обнародованных.

Лучшая защита от EternalBlue

Исследователи RiskSense были одними из первых, кто проанализировал EternalBlue, и пришли к выводу, что они не будут выпускать исходный код для порта Windows 10. Например. лучшая защита от EternalBlue остается применить обновление MS17-010, предоставленное Microsoft еще в марте.

Исследователи RiskSense опубликовали отчет, в котором объясняется, что необходимо для использования эксплойта АНБ в Windows 10, и рассматриваются меры, предпринятые Microsoft, которые могли бы способствовать дальнейшему продвижению этих атак.

Старший аналитик по исследованиям Шон Диллон заявил, что исследование было направлено на индустрию информационной безопасности белой шляпы, чтобы повысить осведомленность об этих подвигах и привести к разработке новых методов предотвращения.

Новый порт предназначен для Windows 10

Новый порт предназначен для Windows 10 x64 версии 1511 под кодовым названием Threshold 2, выпущенной еще в ноябре. Поддержал Current Branch for Business. Исследователям удалось обойти средства защиты, введенные в Windows 10, которые отсутствовали в Windows XP, 7 или 8, и они также смогли победить EternalBlue, обойденный для DEP и ASLR.

Утечки ShadowBrokers были снимками наступательных возможностей АНБ, а не изображением их нынешнего арсенала. К настоящему времени АНБ, вероятно, имеет версию EternalBlue для Windows 10, но до сегодняшнего дня эта опция не была доступна защитникам.

Считается, что АНБ, возможно, предупредило Microsoft о надвигающейся утечке ShadowBroker, чтобы дать компании достаточно времени для сборки, тестирования и развертывания MS17-010 до утечки.

Лучший тип эксплойта

По словам Диллона, лучшая уязвимость, которую злоумышленник имеет в своем распоряжении, - это способность EternalBlue мгновенно упростить выполнение удаленного кода без проверки подлинности в Windows.

Подвигу удалось открыть много нового, и Диллон сказал, что это атака в виде кучи-спрея на ядро ​​Windows. Атака с использованием кучи-распылителя, вероятно, является одним из наиболее сложных видов эксплуатации, особенно для Windows, ОС, в которой нет исходного кода.

По словам Диллона, выполнить такую ​​кучу спрея на Linux было бы сложно, но было бы проще, чем это. Для получения дополнительной информации вы можете скачать отчет в формате PDF, который исследователи безопасности из RiskSense опубликовали с помощью этого эксплойта.