Eksploitasi EternalBlue NSA diangkut ke perangkat yang menjalankan Windows 10 dengan topi putih dan karena itu, setiap versi Windows yang tidak ditambal kembali ke XP dapat terpengaruh, perkembangan yang menakutkan mengingat EternalBlue adalah salah satu serangan maya paling kuat yang pernah dibuat publik.

Pertahanan terbaik melawan EternalBlue

Peneliti RiskSense adalah di antara yang pertama untuk menganalisis EternalBlue dan menyimpulkan bahwa mereka tidak akan merilis kode sumber untuk port Windows 10. Seperti itu. pertahanan terbaik melawan EternalBlue tetap menerapkan pembaruan MS17-010 yang disediakan oleh Microsoft pada bulan Maret.

Peneliti RiskSense menerbitkan laporan yang menjelaskan apa yang diperlukan untuk membawa eksploitasi NSA ke Windows 10 dan memeriksa langkah-langkah yang diterapkan oleh Microsoft yang dapat membuat serangan ini bergerak maju.

Analis riset senior Sean Dillon menyatakan bahwa penelitian ini untuk industri keamanan informasi topi putih untuk meningkatkan kesadaran eksploitasi dan mengarah pada pengembangan teknik pencegahan baru.

Port baru ini menargetkan Windows 10

Port baru ini menargetkan Windows 10 x64 versi 1511 dengan nama kode Threshold 2 dirilis kembali pada bulan November. Ini mendukung Cabang Saat Ini untuk Bisnis. Para peneliti berhasil mem-bypass mitigasi yang diperkenalkan pada Windows 10 yang hilang dari Windows XP, 7 atau 8 dan mereka juga mampu mengalahkan bypass EternalBlue untuk DEP dan ASLR.

Kebocoran ShadowBrokers adalah snapshot dari kemampuan ofensif NSA dan bukan gambar arsenal mereka saat ini. Pada saat ini, NSA mungkin memiliki EternalBlue versi Windows 10 tetapi hingga hari ini, opsi ini belum tersedia untuk para pembela HAM.

Dipercaya bahwa NSA mungkin telah memberi tahu Microsoft tentang kebocoran ShadowBroker yang akan datang untuk memberi perusahaan cukup waktu untuk membangun, menguji, dan menggunakan MS17-010 sebelum kebocoran.

Jenis eksploitasi terbaik

Menurut Dillon, exploit terbaik yang dimiliki penyerang adalah kemampuan EternalBlue untuk secara instan memfasilitasi eksekusi kode jarak jauh yang tidak terauthentikasi pada Windows.

Prestasi berhasil memecahkan banyak tanah baru dan Dillon mengatakan bahwa ini adalah serangan heap-spray pada kernel Windows. Serangan heap-spray mungkin adalah salah satu jenis eksploitasi yang paling sulit khusus untuk Windows, sebuah OS yang tidak memiliki kode sumber yang tersedia.

Melakukan semprotan seperti tumpukan di Linux akan sulit tetapi akan lebih mudah dari ini, menurut Dillon. Untuk informasi lebih lanjut, Anda dapat mengunduh laporan PDF yang dipublikasikan oleh peneliti keamanan dari RiskSense tentang eksploitasi ini.