De EternalBlue-exploit van de NSA werd met witte petten op apparaten met Windows 10 geport en daarom kan elke ongepatchde versie van Windows terug naar XP worden beïnvloed, een angstaanjagende ontwikkeling, gezien EternalBlue een van de krachtigste cyberaanvallen ooit is die openbaar wordt gemaakt.

De beste verdediging tegen EternalBlue

De onderzoekers van RiskSense waren een van de eersten die EternalBlue analyseerden en concludeerden dat ze de broncode voor de Windows 10-poort niet zouden vrijgeven. Een dergelijke. de beste verdediging tegen EternalBlue blijft om de MS17-010-update van Microsoft in maart toe te passen.

Onderzoekers van RiskSense publiceerden een rapport waarin werd uitgelegd wat nodig was om de NSA-exploit naar Windows 10 te brengen en welke maatregelen Microsoft had genomen om deze aanvallen vooruit te helpen.

Senior onderzoeksanalist Sean Dillon verklaarde dat het onderzoek was gericht op de white hat informatiebeveiligingsindustrie om het bewustzijn van de exploits te vergroten en te leiden tot de ontwikkeling van nieuwe preventietechnieken.

De nieuwe poort is gericht op Windows 10

De nieuwe poort is gericht op Windows 10 x64 versie 1511 met de codenaam Threshold 2, uitgebracht in november. Het ondersteunde Current Branch for Business. Onderzoekers slaagden erin om in Windows 10 geïntroduceerde beperkingen te omzeilen die ontbraken in Windows XP, 7 of 8 en ze waren ook in staat om EternalBlue bypassed voor DEP en ASLR te verslaan.

De lekken van de ShadowBrokers waren momentopnamen van de offensieve mogelijkheden van de NSA en geen beeld van hun huidige arsenaal. Inmiddels heeft de NSA waarschijnlijk een Windows 10-versie van EternalBlue, maar tot vandaag was deze optie niet beschikbaar voor verdedigers.

Er wordt aangenomen dat de NSA Microsoft mogelijk heeft gewaarschuwd voor het dreigende ShadowBroker-lek om het bedrijf voldoende tijd te geven om de MS17-010 te bouwen, testen en implementeren vóór het lek.

Het beste type exploit

Volgens Dillon is het beste dat een aanvaller tot zijn beschikking heeft het vermogen van EternalBlue om de niet-geverifieerde uitvoering van externe code op Windows onmiddellijk te vergemakkelijken.

De prestatie slaagde erin om veel nieuw terrein te breken en Dillon zei dat dit een heap-spray aanval op de Windows-kernel is. Heap-spray-aanvallen zijn waarschijnlijk een van de moeilijkste soorten exploitatie, specifiek voor Windows, een besturingssysteem waarvoor geen broncode beschikbaar is.

Het uitvoeren van zo'n heap-spray op Linux zou moeilijk zijn, maar zou gemakkelijker zijn dan dit, volgens Dillon. Voor meer informatie kunt u het PDF-rapport downloaden dat beveiligingsonderzoekers van RiskSense over deze exploit hebben gepubliceerd.