L'exploit di EternalBlue della NSA è stato portato su dispositivi che eseguono Windows 10 con cappelli bianchi e per questo motivo ogni versione senza patch di Windows su XP può essere influenzata, uno sviluppo terrificante considerando che EternalBlue è uno dei più potenti attacchi informatici mai resi pubblici.

La migliore difesa contro EternalBlue

I ricercatori di RiskSense sono stati tra i primi ad analizzare EternalBlue e hanno concluso che non avrebbero rilasciato il codice sorgente per la porta di Windows 10. A tale. la miglior difesa contro EternalBlue rimane quella di applicare l'aggiornamento MS17-010 fornito da Microsoft a marzo.

I ricercatori di RiskSense hanno pubblicato un rapporto che spiega ciò che era necessario per portare l'exploit NSA su Windows 10 ed esaminando le misure implementate da Microsoft che potevano far andare avanti questi attacchi.

L'analista senior della ricerca Sean Dillon ha dichiarato che la ricerca era rivolta all'industria della sicurezza delle informazioni sui white hat per migliorare la consapevolezza degli exploit e condurre allo sviluppo di nuove tecniche di prevenzione.

La nuova porta è destinata a Windows 10

La nuova porta è destinata a Windows 10 x64 versione 1511 nome in codice Threshold 2 rilasciato a novembre. Ha supportato Current Branch for Business. I ricercatori sono riusciti a bypassare le mitigazioni introdotte in Windows 10 che mancavano da Windows XP, 7 o 8 e sono state anche in grado di sconfiggere EternalBlue bypassato per DEP e ASLR.

Le perdite degli ShadowBrokers erano istantanee delle capacità offensive della NSA e non un'immagine del loro attuale arsenale. Ormai, l'NSA probabilmente ha una versione Windows 10 di EternalBlue ma fino ad oggi questa opzione non era disponibile per i difensori.

Si ritiene che la NSA possa aver avvisato Microsoft dell'imminente perdita di ShadowBroker per dare alla società abbastanza tempo per costruire, testare e distribuire MS17-010 prima della perdita.

Il miglior tipo di exploit

Secondo Dillon, il miglior exploit di un utente malintenzionato è la capacità di EternalBlue di facilitare istantaneamente l'esecuzione non autenticata di codice remoto su Windows.

L'impresa è riuscita a aprire un sacco di nuove basi e Dillon ha affermato che si tratta di un attacco a spruzzo di massa sul kernel di Windows. Gli attacchi Heap-spray sono probabilmente uno dei tipi più difficili di sfruttamento specifici per Windows, un sistema operativo che non ha codice sorgente disponibile.

Eseguire un tale heap spray su Linux sarebbe difficile ma sarebbe più facile di così, secondo Dillon. Per ulteriori informazioni, è possibile scaricare il rapporto PDF pubblicato dai ricercatori sulla sicurezza di RiskSense su questo exploit.