A exploração EternalBlue da NSA foi portada para dispositivos executando o Windows 10 por chapéus brancos e, por isso, todas as versões não corrigidas do Windows de volta ao XP podem ser afetadas, um desenvolvimento aterrorizante, considerando que o EternalBlue é um dos ataques cibernéticos mais poderosos já publicados.

A melhor defesa contra o EternalBlue

Os pesquisadores do RiskSense foram os primeiros a analisar o EternalBlue e concluíram que não lançariam o código fonte da porta do Windows 10. Um tal. a melhor defesa contra o EternalBlue continua sendo a aplicação da atualização MS17-010 fornecida pela Microsoft em março.

Os pesquisadores do RiskSense publicaram um relatório explicando o que era necessário para trazer a exploração da NSA para o Windows 10 e examinando as medidas implementadas pela Microsoft que poderiam manter esses ataques em andamento.

O analista sênior de pesquisa Sean Dillon afirmou que a pesquisa era para o setor de segurança da informação white hat para aumentar a conscientização sobre as explorações e levar ao desenvolvimento de novas técnicas de prevenção.

A nova porta tem como alvo o Windows 10

A nova porta tem como alvo o Windows 10 x64 versão 1511, codinome Threshold 2, lançado em novembro. Apoiou o Branch Atual para Negócios. Os pesquisadores conseguiram contornar as mitigações introduzidas no Windows 10 que estavam ausentes no Windows XP, 7 ou 8 e também foram capazes de derrotar o EternalBlue ignorado para DEP e ASLR.

Os vazamentos do ShadowBrokers foram instantâneos das capacidades ofensivas da NSA e não uma imagem de seu arsenal atual. Até agora, a NSA provavelmente já possui uma versão do EternalBlue para Windows 10, mas até hoje essa opção não estava disponível para os defensores.

Acredita-se que a NSA possa ter alertado a Microsoft sobre o vazamento iminente do ShadowBroker para dar à empresa tempo suficiente para criar, testar e implantar o MS17-010 antes do vazamento.

O melhor tipo de exploração

De acordo com Dillon, a melhor exploração que um invasor tem à sua disposição é a capacidade do EternalBlue de facilitar instantaneamente a execução não autenticada de código remoto no Windows.

O feito conseguiu abrir novos caminhos e Dillon disse que este é um ataque de heap-spray no kernel do Windows. Os ataques de heap-spray são provavelmente um dos tipos mais difíceis de exploração especificamente para Windows, um sistema operacional que não possui código fonte disponível.

Realizar esse tipo de spray no Linux seria difícil, mas seria mais fácil do que isso, de acordo com Dillon. Para obter mais informações, você pode baixar o relatório em PDF publicado por pesquisadores de segurança da RiskSense sobre essa exploração.