r   e   k   l   a   m   a
r   e   k   l   a   m   a

Uwaga na DOUBLEPULSAR: furtka NSA na tysiącach maszyn z Windowsem

Strona główna AktualnościBEZPIECZEŃSTWO

Upublicznione na Święta Wielkanocne przez grupę Shadow Brokers exploity NSA do systemów Windows zostały przez Microsoft szybko określone jako niegroźne – w marcu wydano biuletyny bezpieczeństwa, w których traf chciał, że załatano też te luki, które były przez rządowe cyberbronie wykorzystywane. Błędem jest jednak uważać, że tylko exploity 0-day mają wartość dla cyberprzestępców. Te starsze też są niezłe i można nimi wiele zdziałać. Tak właśnie się stało tym razem. Jeden z udostępnionych przez Shadow Brokers exploitów robi w Sieci prawdziwą karierę.

Wczoraj ekspert od bezpieczeństwa Dan Tentler, zalożyciel firmy Phobos Group, poinformował o rosnącej liczbie hostów w publicznej sieci, na których zainstalowano furtkę DOUBLEPULSAR. To jedna z furtek dostępnych z poziomu toolkitu FUZZBUNCH, przygotowanego przez elitarną grupę rządowych hakerów The Equation Group na potrzeby agentów NSA, która została udostępniona na Święta Wielkanocne – instaluje się ją z wykorzystaniem exploita ETERNALBLUE, uderzającego w usługi współdzielenia plików Windowsa.

Po zainstalowaniu DOUBLEPULSARA na komputerze z podatnym Windowsem, przechodzi on pod kontrolę napastnika – można teraz uruchomić na takim systemie dowolny kod, wykorzystując go do dalszego rozpowszechniania malware, kampanii spamowych czy ataków DDoS.

r   e   k   l   a   m   a

Wydana w marcu łatka w biuletynie MS17-010 uodporniła systemy Windows takie jak Vista SP2, 7, 8.1, RT 8.1, 10, Server 2008 SP2, Server 2008 R2 SP1, Server 2012, Server 2012 R2, Server 2016 oraz Server Core – o ile ich użytkownicy łatkę otrzymali i zainstalowali. Wszyscy ci, którzy korzystają wciąż z Windowsa XP czy Servera 2003 (a są to przecież miliony maszyn podłączonych do Internetu), są jednak podatni na atak. I widać tego efekty.

Przeprowadzony wczoraj przez Tentlera za pomocą wyszukiwarki shodan.io skan ujawnił ponad 15 tys. zainfekowanych hostów – zgłaszają się one w charakterystyczny sposób na porcie 445. Dzisiaj powtarzając ten sam skan wykryliśmy już 25 tys. hostów, w zdecydowanej większości z USA i Chin. Dostępne są jednak wyniki testów wskazujące na jeszcze większy zasięg infekcji – wczoraj Robert Graham zademonstrował ponad 41 tysięcy zainfekowanych przez DOUBLEPULSAR hostów.

Wygląda na to, że świąteczny prezent od Shadow Brokers zaczyna przynosić efekty. Jeśli ktoś do tej pory nie zastosował MS17-010, to pewnie już tego nie zrobi, a wykryć stworzoną przez NSA furtkę w Windowsie jest bardzo ciężko. Następne tygodnie pokażą, co utworzony w ten sposób botnet będzie w stanie osiągnąć. Jedno jest pewne – toolkit FUZZBUNCH jest dostępny dla każdego zainteresowanego i nawet gimnazjalista poradzi sobie z wykorzystaniem go przeciwko niezałatanym Windowsom.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.