Exploit EternalBlue przeniesiony na Windows 10 – NSA też to potrafi?
Ransomware WannaCry nie odniosłoby takiego sukcesu, gdyby nieudostępniony przez grupę Shadow Brokers exploit Eternal Blue.Wykorzystując błąd w implementacji protokołu SMB w Windowsachpozwalał on na zdalne uruchomienie kodu na komputerze ofiary – imiał tylko jeden minus. Nie działał na Windowsie 10. To, że niedziałał, nie oznacza, że w ogóle działać nie może. Grupabadaczy z firmy RiskSense, którzy byli jednymi z pierwszychbadających EternalBlue, powiązany z nim rootkit DoublePulsar orazhakerski framework Fuzzbunch, zdołała przenieść exploit ten nanajnowszą wersję Windowsa.
Na razie nie trzeba wpadać w panikę. Badacze okazali sięodpowiedzialni i nie ujawnili kodu ulepszonego exploita. Zamiast tegoprzygotowali trzydziestostronicowy raport, w którym opróczszczegółowej analizy metod wykorzystywanych przez NSA w tejcyberbroni do obejścia zabezpieczeń Windowsa, opisali też sposób,w jaki przenieśli EternalBlue na Windows 10 – tak, że terazexploit ten działa nawet na Windows 10 Threshold 2 (1511).
Ulepszenia obejmują nie tylko nowe obejście mechanizmów DEP iASLR, ale też nową wersję ładunku, zastępującą DoublePulsara.Rootkit ten uznano bowiem za niewystarczająco zabezpieczony przedprzejęciem przez strony trzecie do roznoszenia ich własnegomalware. Nowa wersja korzysta z asynchronicznych wywołań procedur(APC), które pozwalają uruchomić ładunki bez instalowania wsystemie furtki – przejmuje w tym celu jeden z pozostających wjałowym trybie procesów.
Sean Dillon, szef analityków RiskSense, podkreślił, że zraportu usunięto pewne kluczowe detale, niezbędne do zbudowaniaexploita, a nieprzydatne w przygotowywaniu zabezpieczeń. Wydanie tejpracy przed przygotowaniem przez Microsoft łatki dla Windowsa 10służyć ma całej branży cyberbezpieczeństwa, tak by zwiększyćzrozumienie stosowanych technik ataku i pozwolić na zabezpieczeniesię przed nimi.
Jeśli bowiem niezależni eksperci byli w stanie jedynie napodstawie wycieku z Shadow Brokers stworzyć w kilka tygodniulepszoną wersję exploita, to niemal pewne jest, że samo NSA oddawna musi dysponować wersją EternalBlue działającą na Windowsie10 – i nie potrzebującą instalowania w systemie furtki.
Opinię ekspertów z RiskSense podzielają ludzie z Kaspersky Lab.Podczas prowadzonego w tej dziedzinie webinarium, badacz Juan AndresGuerrero-Saade zademonstrował, jak można wykorzystać Eternal Bluedo uruchomienia przeróżnych ładunków, od niszczarek dysku potrojany bankowe. Jego zdaniem, to co zobaczyliśmy przy okazjiWannaCry nie było takie straszne – ładunek wykorzystany wkolejnej infekcji może okazać się znacznie gorszy.
WannaCry Ransomware: How it Attacks and How to Protect Your Business
Zainteresowani działaniem EternalBlue powinni zainteresować sięframeworkiem Metasploit, który zawierajuż gotowy moduł z tym exploitem. Wszyscy ci, którzy po prostuchcą się zabezpieczyć, powinni pamiętać o biuletynie MicrosoftuMS17-010,który zabezpiecza starsze wersje Windowsów przed tym atakiem.Wszyscy ci, których działaniami mogłoby zainteresować się NSA,powinni zastanowić się nad koniecznością używania Windowsa wswojej pracy – być może lepiej będzie skorzystać z jakiegośbezpiecznego systemu, takiego jak QubesOS Joanny Rutkowskiej?