NSA: s EternalBlue-exploatering överfördes till enheter som kör Windows 10 av vita hattar och på grund av detta kan varje oöverträffad version av Windows tillbaka till XP påverkas, en skrämmande utveckling med tanke på EternalBlue är en av de kraftfullaste cyberattackerna som någonsin har offentliggjorts.

Det bästa försvaret mot EternalBlue

RiskSenses forskare var bland de första som analyserade EternalBlue och drog slutsatsen att de inte skulle släppa källkoden för Windows 10-porten. En sån. det bästa försvaret mot EternalBlue återstår att tillämpa uppdateringen MS17-010 från Microsoft tillbaka i mars.

RiskSense-forskare publicerade en rapport som förklarade vad som var nödvändigt för att föra NSA-utnyttjandet till Windows 10 och undersöka de åtgärder som implementerats av Microsoft som kan hålla dessa attacker framåt.

Senior forskningsanalytiker Sean Dillon uppgav att forskningen var för informationssäkerhetsindustrin med vit hatt för att öka medvetenheten om exploaterna och leda till utveckling av nya förebyggande tekniker.

Den nya porten riktar sig till Windows 10

Den nya porten riktar sig till Windows 10 x64 version 1511 kodnamn Threshold 2 släpptes tillbaka i november. Det stödde Current Branch for Business. Forskare lyckades kringgå minskningar introducerade i Windows 10 som saknades i Windows XP, 7 eller 8 och de kunde också besegra EternalBlue förbi för DEP och ASLR.

ShadowBrokers läckor var ögonblicksbilder av NSA: s offensiva kapacitet och inte en bild av deras nuvarande arsenal. Just nu har NSA troligen en Windows 10-version av EternalBlue men fram till idag har detta alternativ inte varit tillgängligt för försvarare.

Det tros att NSA kan ha varnat Microsoft om den kommande ShadowBroker-läckan för att ge företaget tillräckligt med tid att bygga, testa och distribuera MS17-010 före läckan.

Den bästa typen av exploatering

Enligt Dillon är den bästa utnyttjandet som en angripare har till sitt förfogande EternalBlue förmåga att omedelbart underlätta obekräftad exekvering av fjärrkod på Windows.

Brådan lyckades bryta mycket ny mark och Dillon sa att det här är en högsprutattack på Windows-kärnan. Heap-spray-attacker är förmodligen en av de svåraste typerna av exploatering specifikt för Windows, ett operativsystem som inte har källkod tillgängligt.

Att utföra en sådan heap spray på Linux skulle vara tufft men det skulle vara enklare än detta, enligt Dillon. För mer information kan du ladda ner PDF-rapporten som säkerhetsforskare från RiskSense publicerade om denna exploit.