NSA: n EternalBlue-hyväksikäyttö siirrettiin Windows 10 -käyttöisiin laitteisiin valkoisilla hattuilla, ja tästä syystä se voi vaikuttaa kaikkiin XP: n palauttamattomiin Windows-versioihin. Pelottava kehitys huomioon ottaen, että EternalBlue on yksi tehokkaimmista tietoverkkohyökkäyksistä, joka koskaan on julkistettu.

Paras puolustus EternalBluea vastaan

RiskSense-tutkijat olivat ensimmäisten joukossa analysoineet EternalBlue: n ja päättelivät, että he eivät vapauta Windows 10 -portin lähdekoodia. Sellainen. paras suoja EternalBlue-ohjelmaa vastaan ​​on edelleen Microsoftin toimittaman MS17-010-päivityksen käyttäminen maaliskuussa.

RiskSense-tutkijat julkaisivat raportin, jossa selitettiin, mitä oli välttämätöntä NSA-hyväksikäytön tuomiseksi Windows 10 -käyttöjärjestelmään, ja tutkittiin Microsoftin toteuttamia toimenpiteitä, jotka voivat pitää nämä hyökkäykset eteenpäin.

Vanhempi tutkimusanalyytikko Sean Dillon totesi, että tutkimus oli tarkoitettu valkoisten hattujen tietoturvateollisuudelle, jotta voidaan lisätä tietoisuutta hyväksikäytöstä ja johtaa uusien ehkäisemistekniikoiden kehittämiseen.

Uusi portti on suunnattu Windows 10: lle

Uusi portti on suunnattu Windows 10 x64 -versioon 1511, nimeltään Threshold 2, joka julkaistiin takaisin marraskuussa. Se tuki nykyistä yritystoimintaa. Tutkijat onnistuivat ohittamaan Windows 10: ään käyttöön otetut lieventämiset, jotka puuttuivat Windows XP: stä, 7: stä tai 8: sta, ja he myös pystyivät voittamaan EternalBlueen ohitetun DEP: n ja ASLR: n.

ShadowBrokers-vuodot olivat otteita NSA: n loukkaavista ominaisuuksista eivätkä kuvaa heidän nykyisestä arsenaalistaan. Tähän mennessä NSA: lla on todennäköisesti Windows 10 -versio EternalBluestä, mutta tähän päivään mennessä tämä vaihtoehto ei ole ollut puolustajien käytettävissä.

Uskotaan, että NSA on voinut ilmoittaa Microsoftille lähestyvästä ShadowBroker-vuodosta antaa yritykselle tarpeeksi aikaa rakentaa, testata ja ottaa käyttöön MS17-010 ennen vuotoa.

Paras tyyppinen hyväksikäyttö

Dillonin mukaan hyökkääjän parhaa hyödyntäminen on EternalBlue: n kyky helpottaa etäkoodin todentamatonta suorittamista Windowsissa välittömästi.

Yhtye onnistui murtamaan paljon uutta maata ja Dillon sanoi, että kyseessä on kasa-spray-hyökkäys Windows-ytimeen. Rinta-spray-hyökkäykset ovat luultavasti yksi vaikeimmista hyväksikäyttötyypeistä erityisesti Windowsille, käyttöjärjestelmälle, jolla ei ole lähdekoodia.

Tällaisen kasasuihkun suorittaminen Linuxissa olisi vaikeaa, mutta Dillonin mukaan se olisi tätä helpompaa. Lisätietoja voit ladata PDF-raportin, jonka Risksensin tietoturvatutkijat ovat julkaissut tällä hyväksikäytöllä.