White Hat hackere overfører Wannacry-udnyttelse til Windows 10. Tak, tror jeg?

Der var to Windows-operativsystemer, der stort set var immune over for det nylige Wannacry-cyberangreb. Den første, Windows XP, blev stort set skånet på grund af en fejl i Wannacry-koden, og den anden, Windows 10, havde mere avanceret forsvar end Windows 7 og kunne derfor ikke inficeres.

Enter stage forlod White Hat Hackers fra RiskSense, som gjorde det nødvendige arbejde for at overføre EternalBlue-udnyttelsen, det NSA-skabte hack ved roden af ​​Wannacry, til Windows 10 og skabte et Metasploit-modul baseret på hacket.

Deres raffinerede modul byder på adskillige forbedringer med reduceret netværkstrafik og fjernelse af DoublePulsar-bagdøren, som de mente distraherede sikkerhedsforskere unødigt.

"DoublePulsar-bagdøren er en slags rød sild for forskere og forsvarere at fokusere på," sagde senioranalytiker Sean Dillon. "Vi demonstrerede det ved at skabe en ny nyttelast, der kan indlæse malware direkte uden først at skulle installere DoublePulsar-bagdøren. Så folk, der ønsker at forsvare sig mod disse angreb i fremtiden, bør ikke fokusere udelukkende på DoublePulsar. Fokuser på, hvilke dele af udnyttelsen vi kan opdage og blokere."

De offentliggjorde resultaterne af deres forskning, men sagde, at de gjorde det svært for Black Hat-hackere at følge i deres fodspor.

"Vi har udeladt visse detaljer om udnyttelseskæden, som kun ville være nyttige for angribere og ikke så meget til at bygge forsvar," bemærkede Dillon. "Forskning er til informationssikkerhedsindustrien med hvide hat for at øge forståelsen og bevidstheden om disse udnyttelser, så der kan udvikles nye teknikker, der forhindrer dette og fremtidige angreb. Dette hjælper forsvarere med bedre at forstå udnyttelseskæden, så de kan bygge forsvar til udnyttelsen i stedet for nyttelasten."

For at inficere Windows 10 måtte hackerne omgå Data Execution Prevention (DEP) og Address Space Layout Randomization (ASLR) i Windows 10 og installere en ny Asynchronous Procedure Call (APC) nyttelast, der gør det muligt at udføre nyttelaster i brugertilstand uden bagdøren.

Hackerne var dog fulde af beundring for de originale NSA-hackere, der skabte EternalBlue.

"De brød helt sikkert meget nyt med udnyttelsen. Da vi føjede målene for den originale udnyttelse til Metasploit, var der en masse kode, der skulle tilføjes til Metasploit for at få det op på niveau med at kunne understøtte en ekstern kerneudnyttelse, der er målrettet mod x64," sagde Dillon og tilføjede, at den oprindelige udnyttelse er også mål for x86 og kalder den bedrift "næsten mirakuløs.

"Du taler om et heap-spray-angreb på Windows-kernen. Heap-spray-angreb er sandsynligvis en af ​​de mest esoteriske former for udnyttelse, og dette er for Windows, som ikke har kildekode tilgængelig,” sagde Dillon. "At udføre en lignende heap-spray på Linux er svært, men lettere end dette. Der er lagt meget arbejde i det her."

Den gode nyhed er, at fuldt patchet Windows 10, med MS17-010 installeret, stadig er fuldt beskyttet, med hacket rettet mod Windows 10 x64 version 1511, som blev udgivet i november 2015 og fik kodenavnet Threshold 2. De bemærker dog, at dette version af operativsystemet understøttes stadig af Windows Current Branch for Business.

Dagens nyheder understreger det sofistikerede i de angreb, der udføres på Windows af offentlige myndigheder, og endnu en gang vigtigheden af ​​at forblive opdateret for at mindske risikoen så meget som muligt.

Den fulde RiskSense-rapport, der beskriver det nye hack kan læses her (PDF.)