NSA EternalBlue izmantošana tika pārnesta uz ierīcēm, kurās darbojas Windows 10, ar baltām cepurēm, un tāpēc var tikt ietekmēta ikviena vēl neiepazītā Windows versija līdz XP, šausminoša attīstība, ņemot vērā, ka EternalBlue ir viens no visspēcīgākajiem kiberuzbrukumiem, kāds jebkad publiskots.

Labākā aizsardzība pret EternalBlue

RiskSense pētnieki bija vieni no pirmajiem, kas analizēja EternalBlue, un secināja, ka viņi neatbrīvos Windows 10 porta avota kodu. Tāds. Vislabākā aizsardzība pret EternalBlue joprojām ir Microsoft MS nodrošinātā atjauninājuma MS17-010 piemērošana martā.

RiskSense pētnieki publicēja ziņojumu, kurā tika paskaidrots, kas nepieciešams, lai NSA izmantotu operētājsistēmā Windows 10, un pārbaudīja Microsoft ieviestos pasākumus, kas varētu turpināt šos uzbrukumus virzīties uz priekšu.

Vecākais pētījumu analītiķis Šons Dilons paziņoja, ka pētījums bija paredzēts balto cepuru informācijas drošības nozarei, lai palielinātu izpratni par izmantošanas veidiem un novestu pie jaunu profilakses paņēmienu izstrādes.

Jaunā osta ir paredzēta operētājsistēmai Windows 10

Jaunā osta ir paredzēta Windows 10 x64 versijai 1511 ar nosaukumu Sliekšņa 2, kas tika izlaista jau novembrī. Tas atbalstīja pašreizējo uzņēmējdarbības filiāli. Pētniekiem izdevās apiet Windows 10 ieviestos mīkstinājumus, kas trūka operētājsistēmā Windows XP, 7 vai 8, un viņi arī spēja pieveikt EternalBlue, apejot DEP un ASLR.

ShadowBrokers noplūdes bija NVD aizvainojošo iespēju momentuzņēmumi, nevis viņu pašreizējā arsenāla attēls. Tagad NSA, iespējams, ir EternalBlue Windows 10 versija, taču līdz šodienai šī iespēja aizstāvjiem nebija pieejama.

Tiek uzskatīts, ka NSA, iespējams, brīdināja Microsoft par gaidāmo ShadowBroker noplūdi, lai dotu uzņēmumam pietiekami daudz laika, lai pirms noplūdes izveidotu, pārbaudītu un izvērstu MS17-010.

Labākais izmantošanas veids

Pēc Dillona teiktā, labākais uzbrucēja rīcībā esošais līdzeklis ir EternalBlue spēja uzreiz atvieglot attālināta koda neautentificētu izpildi operētājsistēmā Windows.

Uzdevumam izdevās izjaukt daudz jauna pamata, un Dillons sacīja, ka tas ir uzbrukums kaudzes izsmidzināšanai Windows kodolā. Uzbrukumi no kaudzes izsmidzināšanas, iespējams, ir viens no visgrūtākajiem izmantošanas veidiem, kas īpaši paredzēts operētājsistēmai Windows - OS, kurai nav pieejams avota kods.

Šāda kaudzes izsmidzināšana operētājsistēmā Linux būtu grūta, taču, pēc Dilona domām, būtu vienkāršāka. Lai iegūtu papildinformāciju, varat lejupielādēt PDF pārskatu, ko par šo izmantošanu publicēja RiskSense drošības pētnieki.