Der EternalBlue-Exploit der NSA wurde von White Hats auf Geräte unter Windows 10 portiert, und aus diesem Grund kann jede nicht gepatchte Version von Windows zurück zu XP betroffen sein. Dies ist eine schreckliche Entwicklung, wenn man bedenkt, dass EternalBlue einer der mächtigsten Cyberangriffe ist, die jemals öffentlich gemacht wurden.

Die beste Verteidigung gegen EternalBlue

Die Forscher von RiskSense gehörten zu den Ersten, die EternalBlue analysierten, und kamen zu dem Schluss, dass sie den Quellcode für den Windows 10-Port nicht freigeben würden. Ein solcher. Die beste Verteidigung gegen EternalBlue besteht darin, das MS17-010-Update anzuwenden, das Microsoft bereits im März bereitgestellt hat.

Die RiskSense-Forscher veröffentlichten einen Bericht, in dem erläutert wurde, was erforderlich war, um den NSA-Exploit auf Windows 10 zu bringen, und in dem die von Microsoft implementierten Maßnahmen untersucht wurden, die diese Angriffe vorantreiben könnten.

Senior Research Analyst Sean Dillon gab an, dass die Forschung für die White-Hat-Informationssicherheitsbranche war, um das Bewusstsein für die Exploits zu schärfen und neue Präventionstechniken zu entwickeln.

Der neue Port zielt auf Windows 10 ab

Der neue Port zielt auf Windows 10 x64 Version 1511 mit dem Codenamen Threshold 2 ab, der bereits im November veröffentlicht wurde. Es unterstützt Current Branch for Business. Den Forschern gelang es, die in Windows 10 eingeführten Abhilfemaßnahmen zu umgehen, die in Windows XP, 7 oder 8 fehlten, und EternalBlue zu besiegen, das für DEP und ASLR umgangen wurde.

Die Lecks der ShadowBrokers waren Momentaufnahmen der Offensivfähigkeiten der NSA und kein Abbild ihres aktuellen Arsenals. Die NSA hat wahrscheinlich eine Windows 10-Version von EternalBlue, aber bis heute war diese Option für Verteidiger nicht verfügbar.

Es wird angenommen, dass die NSA Microsoft über das bevorstehende ShadowBroker-Leck informiert hat, damit das Unternehmen vor dem Leck genügend Zeit zum Erstellen, Testen und Bereitstellen des MS17-010 hat.

Die beste Art des Exploits

Laut Dillon ist der beste Exploit, den ein Angreifer zur Verfügung hat, die Fähigkeit von EternalBlue, die nicht authentifizierte Ausführung von Remote-Code unter Windows sofort zu vereinfachen.

Das Kunststück hat viel Neuland betreten und Dillon sagte, dass dies ein Heap-Spray-Angriff auf den Windows-Kernel ist. Heap-Spray-Angriffe sind wahrscheinlich eine der schwierigsten Arten der Ausbeutung speziell für Windows, ein Betriebssystem, für das kein Quellcode verfügbar ist.

Laut Dillon wäre es schwierig, einen solchen Heap-Spray unter Linux durchzuführen, aber einfacher. Für weitere Informationen können Sie den PDF-Bericht herunterladen, den Sicherheitsforscher von RiskSense zu diesem Exploit veröffentlicht haben.