r   e   k   l   a   m   a
r   e   k   l   a   m   a

Exploit EternalBlue przeniesiony na Windows 10 – NSA też to potrafi?

Strona główna AktualnościBEZPIECZEŃSTWO

Ransomware WannaCry nie odniosłoby takiego sukcesu, gdyby nie udostępniony przez grupę Shadow Brokers exploit Eternal Blue. Wykorzystując błąd w implementacji protokołu SMB w Windowsach pozwalał on na zdalne uruchomienie kodu na komputerze ofiary – i miał tylko jeden minus. Nie działał na Windowsie 10. To, że nie działał, nie oznacza, że w ogóle działać nie może. Grupa badaczy z firmy RiskSense, którzy byli jednymi z pierwszych badających EternalBlue, powiązany z nim rootkit DoublePulsar oraz hakerski framework Fuzzbunch, zdołała przenieść exploit ten na najnowszą wersję Windowsa.

Na razie nie trzeba wpadać w panikę. Badacze okazali się odpowiedzialni i nie ujawnili kodu ulepszonego exploita. Zamiast tego przygotowali trzydziestostronicowy raport, w którym oprócz szczegółowej analizy metod wykorzystywanych przez NSA w tej cyberbroni do obejścia zabezpieczeń Windowsa, opisali też sposób, w jaki przenieśli EternalBlue na Windows 10 – tak, że teraz exploit ten działa nawet na Windows 10 Threshold 2 (1511).

Ulepszenia obejmują nie tylko nowe obejście mechanizmów DEP i ASLR, ale też nową wersję ładunku, zastępującą DoublePulsara. Rootkit ten uznano bowiem za niewystarczająco zabezpieczony przed przejęciem przez strony trzecie do roznoszenia ich własnego malware. Nowa wersja korzysta z asynchronicznych wywołań procedur (APC), które pozwalają uruchomić ładunki bez instalowania w systemie furtki – przejmuje w tym celu jeden z pozostających w jałowym trybie procesów.

r   e   k   l   a   m   a

Sean Dillon, szef analityków RiskSense, podkreślił, że z raportu usunięto pewne kluczowe detale, niezbędne do zbudowania exploita, a nieprzydatne w przygotowywaniu zabezpieczeń. Wydanie tej pracy przed przygotowaniem przez Microsoft łatki dla Windowsa 10 służyć ma całej branży cyberbezpieczeństwa, tak by zwiększyć zrozumienie stosowanych technik ataku i pozwolić na zabezpieczenie się przed nimi.

Jeśli bowiem niezależni eksperci byli w stanie jedynie na podstawie wycieku z Shadow Brokers stworzyć w kilka tygodni ulepszoną wersję exploita, to niemal pewne jest, że samo NSA od dawna musi dysponować wersją EternalBlue działającą na Windowsie 10 – i nie potrzebującą instalowania w systemie furtki.

Opinię ekspertów z RiskSense podzielają ludzie z Kaspersky Lab. Podczas prowadzonego w tej dziedzinie webinarium, badacz Juan Andres Guerrero-Saade zademonstrował, jak można wykorzystać Eternal Blue do uruchomienia przeróżnych ładunków, od niszczarek dysku po trojany bankowe. Jego zdaniem, to co zobaczyliśmy przy okazji WannaCry nie było takie straszne – ładunek wykorzystany w kolejnej infekcji może okazać się znacznie gorszy.

Zainteresowani działaniem EternalBlue powinni zainteresować się frameworkiem Metasploit, który zawiera już gotowy moduł z tym exploitem. Wszyscy ci, którzy po prostu chcą się zabezpieczyć, powinni pamiętać o biuletynie Microsoftu MS17-010, który zabezpiecza starsze wersje Windowsów przed tym atakiem. Wszyscy ci, których działaniami mogłoby zainteresować się NSA, powinni zastanowić się nad koniecznością używania Windowsa w swojej pracy – być może lepiej będzie skorzystać z jakiegoś bezpiecznego systemu, takiego jak Qubes OS Joanny Rutkowskiej?

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.