L’explotació EternalBlue de la NSA es portava a dispositius que utilitzaven Windows 10 per barrets blancs i, a causa d’això, es pot veure afectada tota versió no empaquetada de Windows de tornada a XP, un terrorífic desenvolupament tenint en compte que EternalBlue és un dels atacs cibernètics més potents que s’ha fet públic.

La millor defensa contra EternalBlue

Els investigadors de RiskSense van ser els primers a analitzar EternalBlue i van concloure que no llançarien el codi font del port de Windows 10. Una tal. la millor defensa contra EternalBlue continua sent aplicar l’actualització MS17-010 proporcionada per Microsoft el març passat.

Els investigadors de RiskSense van publicar un informe que explicava què era necessari per portar l'explotació NSA a Windows 10 i examinant les mesures implementades per Microsoft que podrien mantenir aquests atacs endavant.

L'analista principal de la investigació, Sean Dillon, va afirmar que la investigació va ser per a la indústria de seguretat de la informació de barret blanc per augmentar la consciència de les gestions i conduir al desenvolupament de noves tècniques de prevenció.

El nou port té com a objectiu Windows 10

El nou port té per objectiu la versió 1511 de Windows 10 x64 amb el nom del llindar Threshold 2 llançat el novembre. Va donar suport a l'oficina actual per a empreses Els investigadors van aconseguir evitar les mitigacions introduïdes a Windows 10 que mancaven de Windows XP, 7 o 8 i també van ser capaços de derrotar EternalBlue anulant-se per DEP i ASLR.

Les filtracions de ShadowBrokers eren imatges de les capacitats ofensives de la NSA i no una imatge del seu arsenal actual. Ara per ara, la NSA probablement compta amb una versió d’EternalBlue de Windows 10, però fins ara aquesta opció no estava disponible per als defensors.

Es creu que la NSA pot haver alertat Microsoft sobre l'imminent fugida de ShadowBroker per donar a la companyia temps suficient per construir, provar i desplegar el MS17-010 abans de la filtració.

El millor tipus d’explotació

Segons Dillon, la millor explotació que un atacant té a la seva disposició és la capacitat d'EternalBlue de facilitar immediatament l'execució no autentificada de codi remot a Windows.

La gesta va aconseguir trencar molts nous terrenys i Dillon va dir que es tracta d'un atac de ruixats al nucli de Windows. Els atacs contra spray heap són probablement un dels tipus d’explotació més difícils específicament per a Windows, un sistema operatiu que no té el codi font disponible.

Segons Dillon, executar aquest spray de munts a Linux seria difícil però seria més fàcil que això. Per obtenir més informació, podeu descarregar l'informe PDF que els investigadors de seguretat de RiskSense van publicar en aquesta explotació.