ניצול ה- EternalBlue של ה- NSA הועבר למכשירים שמריצים חלונות 10 על ידי כובעים לבנים, ובשל כך ניתן להשפיע על כל גרסה חסרת תחרות של Windows בחזרה ל- XP, התפתחות אימתנית בהתחשב ב- EternalBlue היא אחת מתקפות הסייבר החזקות ביותר שפורסמו אי פעם.

ההגנה הטובה ביותר נגד EternalBlue

החוקרים של RiskSense היו בין הראשונים שניתחו את EternalBlue והסיקו כי הם לא ישחררו את קוד המקור ליציאת Windows 10. כזה. ההגנה הטובה ביותר נגד EternalBlue נותרה להחיל את עדכון MS17-010 שסיפקה מיקרוסופט כבר בחודש מרץ.

חוקרי RiskSense פרסמו דוח שמסביר מה נחוץ בכדי להביא את ניצול ה- NSA למערכת Windows 10 ובחן את האמצעים שביצעה מיקרוסופט שיכולים למנוע התקפות אלה להתקדם.

אנליסט המחקר הבכיר, שון דילון, הצהיר כי המחקר נועד לתעשיית אבטחת המידע על הכובע לבן כדי לשפר את המודעות למנצלות ולהוביל להתפתחות של טכניקות מניעה חדשות.

הנמל החדש ממקד לחלונות 10

היציאה החדשה ממקדת את Windows 10 x64 גרסה 1511 שקודם היא שם סף 2 ששוחררה בנובמבר. הוא תומך בסניף הנוכחי לעסקים. החוקרים הצליחו לעקוף את ההפחתות שהוצגו ב- Windows 10 שהיו חסרות ב- Windows XP, 7 או 8 והם הצליחו גם להביס את עקבית של EternalBlue עבור DEP ו- ASLR.

ההדלפות של ShadowBrokers היו תמונות תצלומי יכולות התקפיות של ה- NSA ולא תמונה של הארסנל הנוכחי שלהן. נכון לעכשיו ל- NSA יש כנראה גרסת Windows 10 של EternalBlue אך עד היום אפשרות זו לא הייתה זמינה למגינים.

ההערכה היא כי ייתכן כי ה- NSA התריע בפני מיקרוסופט על דליפת ShadowBroker הממשמשת ובאה לתת לחברה מספיק זמן לבנות, לבחון ולפרוס את MS17-010 לפני הדליפה.

הסוג הטוב ביותר של ניצול

לדברי דילון, הניצול הטוב ביותר שעומד לרשותו של התוקף הוא יכולתו של EternalBlue להקל באופן מיידי על ביצוע בלתי מאומת של קוד מרחוק ב- Windows.

הישג הצליח לפרוץ הרבה קרקע חדשה ודילון אמר שמדובר בהתקפת ריסוס ערימה על גרעין חלונות. התקפות ריסוס ערמה הן ככל הנראה אחד הסוגים הקשים ביותר לניצול במיוחד עבור Windows, מערכת הפעלה שאין בה קוד מקור זמין.

ביצוע ריסוס ערמה כזה על לינוקס יהיה קשה אך יהיה קל יותר מזה, לפי דילון. למידע נוסף, אתה יכול להוריד את דוח ה- PDF שפרסמו חוקרי אבטחה מ- RiskSense בניצול זה.