NSA-in EternalBlue eksploatacija bila je prenesena na uređaje sa sustavom Windows 10 bijelim šeširima i zbog toga može utjecati na svaku neupadljivu verziju sustava Windows na XP, zastrašujući razvoj s obzirom na to da je EternalBlue jedan od najmoćnijih cyber napada ikad objavljenih.

Najbolja obrana protiv EternalBluea

RiskSenseovi istraživači bili su među prvima koji su analizirali EternalBlue i zaključili su da neće pustiti izvorni kod za Windows 10 ulaz. Takav. ostaje najbolja obrana od EternalBluea primijeniti nadogradnju MS17-010 koju je Microsoft osigurao još u ožujku.

Istraživači RiskSense-a objavili su izvještaj u kojem su objasnili što je potrebno za iskorištavanje NSA iskorištavanja u sustavu Windows 10 i ispitali mjere koje je proveo Microsoft zbog kojih ovi napadi mogu držati dalje.

Viši analitičar istraživanja Sean Dillon izjavio je da je istraživanje namijenjeno industriji informacijske sigurnosti "bijeli šešir" kako bi se povećala svijest o iskorištavanjima i dovelo do razvoja novih tehnika prevencije.

Novi port cilja na Windows 10

Novi port cilja na Windows 10 x64 verzije 1511 s kodnim nazivom Threshold 2 objavljen u studenom. Podržao je trenutnu poslovnicu za poslovanje. Istraživači su uspjeli zaobići ublažene mjere uvedene u sustavu Windows 10 koji su nedostajali u sustavu Windows XP, 7 ili 8, a mogli su i pobijediti EternalBlue zaobiđen za DEP i ASLR.

Propuštanja ShadowBrokera bili su snimci ofenzivnih sposobnosti NSA-e, a ne slika njihovog trenutnog arsenala. Do sada, NSA vjerojatno ima verziju sustava EternalBlue za Windows 10, ali braniteljima do danas ova opcija nije bila dostupna.

Vjeruje se da je NSA možda upozorila Microsoft na nadolazeće propuštanje ShadowBroker-a kako bi tvrtka dala dovoljno vremena za izgradnju, testiranje i implementaciju MS17-010 prije curenja.

Najbolja vrsta eksploatacije

Prema Dillonu, najbolji napadač koji napadač ima na raspolaganju je sposobnost EternalBluea da trenutno olakša neovlašteno izvršavanje udaljenog koda na Windows-u.

Podvig je uspio srušiti puno novog tla, a Dillon je rekao da je ovo napad pomoću spreja na kernel Windows. Napadi u obliku prskanja vjerojatno su jedan od najtežih tipova eksploatacije posebno za Windows, OS koji nema izvorni kod.

Izvođenje takvog spreja na Linuxu bilo bi teško, ali bilo bi i lakše od ovoga, kaže Dillon. Za više informacija možete preuzeti PDF izvješće koje su istraživači sigurnosti iz RiskSense-a objavili na ovom iskorištavanju.