Khai thác EternalBlue của NSA đã được chuyển sang các thiết bị chạy Windows 10 bằng mũ trắng và vì điều này, mọi phiên bản Windows chưa được vá lại cho XP đều có thể bị ảnh hưởng, một sự phát triển đáng sợ khi coi EternalBlue là một trong những cuộc tấn công mạng mạnh mẽ nhất từng được công khai.

Cách phòng thủ tốt nhất trước EternalBlue

Các nhà nghiên cứu của RiskSense là một trong những người đầu tiên phân tích EternalBlue và kết luận họ sẽ không phát hành mã nguồn cho cổng Windows 10. Một ví dụ. biện pháp bảo vệ tốt nhất chống lại EternalBlue vẫn là áp dụng bản cập nhật MS17-010 do Microsoft cung cấp vào tháng 3.

Các nhà nghiên cứu của RiskSense đã công bố một báo cáo giải thích những gì cần thiết để đưa khai thác NSA lên Windows 10 và kiểm tra các biện pháp do Microsoft thực hiện có thể giúp các cuộc tấn công này tiến lên phía trước.

Nhà phân tích nghiên cứu cao cấp Sean Dillon tuyên bố rằng nghiên cứu này dành cho ngành bảo mật thông tin mũ trắng nhằm nâng cao nhận thức về việc khai thác và dẫn đến sự phát triển của các kỹ thuật phòng ngừa mới.

Cổng mới nhắm vào Windows 10

Cổng mới nhắm vào Windows 10 x64 phiên bản 1511 có tên mã Ngưỡng 2 được phát hành vào tháng 11. Nó hỗ trợ Chi nhánh hiện tại cho doanh nghiệp. Các nhà nghiên cứu đã cố gắng vượt qua các giảm thiểu được giới thiệu trong Windows 10 bị thiếu trong Windows XP, 7 hoặc 8 và họ cũng có thể đánh bại EternalBlue bỏ qua cho DEP và ASLR.

Các rò rỉ của ShadowBrokers là ảnh chụp nhanh về khả năng tấn công của NSA và không phải là hình ảnh về kho vũ khí hiện tại của họ. Đến bây giờ, NSA có thể có phiên bản Windows 10 của EternalBlue nhưng cho đến ngày hôm nay, tùy chọn này vẫn chưa có sẵn cho các hậu vệ.

Người ta tin rằng NSA có thể đã cảnh báo Microsoft về vụ rò rỉ ShadowBroker sắp xảy ra để cho công ty có đủ thời gian để xây dựng, thử nghiệm và triển khai MS17-010 trước khi rò rỉ.

Loại khai thác tốt nhất

Theo Dillon, khai thác tốt nhất mà kẻ tấn công có được theo ý của anh ta là khả năng của EternalBlue ngay lập tức tạo điều kiện cho việc thực thi mã từ xa không được xác thực trên Windows.

Chiến công này đã xoay sở để phá vỡ rất nhiều mặt bằng mới và Dillon nói rằng đây là một cuộc tấn công heap-xịt vào nhân Windows. Các cuộc tấn công heap-Spray có lẽ là một trong những kiểu khai thác khó khăn nhất dành riêng cho Windows, một hệ điều hành không có sẵn mã nguồn.

Thực hiện một công cụ phun đống như vậy trên Linux sẽ khó khăn nhưng sẽ dễ hơn thế này, theo Dillon. Để biết thêm thông tin, bạn có thể tải xuống báo cáo PDF mà các nhà nghiên cứu bảo mật từ RiskSense công bố về khai thác này.