Les hackers White Hat ont porté l'exploit Wannacry sur Windows 10. Merci, je suppose ?

Il y avait deux systèmes d'exploitation Windows largement immunisés contre la récente cyberattaque Wannacry. Le premier, Windows XP, a été largement épargné en raison d'un bogue dans le code de Wannacry, et le second, Windows 10, disposait de défenses plus avancées que Windows 7 et ne pouvait donc pas être infecté.

L'entrée en scène a laissé les White Hat Hackers de RiskSense, qui ont fait le travail nécessaire pour porter l'exploit EternalBlue, le hack créé par la NSA à la racine de Wannacry, vers Windows 10, et ont créé un module Metasploit basé sur le hack.

Leur module raffiné comporte plusieurs améliorations, avec un trafic réseau réduit et la suppression de la porte dérobée DoublePulsar, qui, selon eux, distrayait inutilement les chercheurs en sécurité.

"La porte dérobée DoublePulsar est une sorte de faux-fuyant sur lequel les chercheurs et les défenseurs doivent se concentrer", a déclaré Sean Dillon, analyste principal de recherche. « Nous l'avons démontré en créant une nouvelle charge utile capable de charger directement des logiciels malveillants sans avoir à installer au préalable la porte dérobée DoublePulsar. Ainsi, les personnes qui cherchent à se défendre contre ces attaques à l'avenir ne devraient pas se concentrer uniquement sur DoublePulsar. Concentrez-vous sur les parties de l'exploit que nous pouvons détecter et bloquer. »

Ils ont publié les résultats de leurs recherches, mais ont déclaré qu'il était difficile pour les pirates Black Hat de suivre leurs traces.

"Nous avons omis certains détails de la chaîne d'exploitation qui ne seraient utiles qu'aux attaquants et pas tant pour la construction de défenses", a noté Dillon. « La recherche est destinée à l'industrie de la sécurité de l'information white-hat afin d'accroître la compréhension et la sensibilisation à ces exploits afin que de nouvelles techniques puissent être développées pour empêcher cette attaque et les attaques futures. Cela aide les défenseurs à mieux comprendre la chaîne d'exploit afin qu'ils puissent construire des défenses pour l'exploit plutôt que la charge utile.

Pour infecter Windows 10, les pirates ont dû contourner la prévention de l'exécution des données (DEP) et la randomisation de la disposition de l'espace d'adressage (ASLR) dans Windows 10 et installer une nouvelle charge utile d'appel de procédure asynchrone (APC) qui permet aux charges utiles en mode utilisateur d'être exécutées sans la porte dérobée.

Les hackers étaient cependant pleins d'admiration pour les hackers originaux de la NSA qui ont créé EternalBlue.

"Ils ont définitivement innové avec cet exploit. Lorsque nous avons ajouté les cibles de l'exploit d'origine à Metasploit, il y avait beaucoup de code à ajouter à Metasploit pour qu'il soit à la hauteur de la prise en charge d'un exploit de noyau distant ciblant x64 », a déclaré Dillon, ajoutant que l'exploit original cible également x86, qualifiant cet exploit de "presque miraculeux".

« Vous parlez d'une attaque par pulvérisation de tas sur le noyau Windows. Les attaques par pulvérisation de tas sont probablement l'un des types d'exploitation les plus ésotériques et cela concerne Windows, qui n'a pas de code source disponible », a déclaré Dillon. « Réaliser une pulvérisation de tas similaire sous Linux est difficile, mais plus facile que cela. Beaucoup de travail a été fait là-dedans. »

La bonne nouvelle est que Windows 10 entièrement patché, avec MS17-010 installé, est toujours entièrement protégé, le hack ciblant Windows 10 x64 version 1511, qui a été publié en novembre 2015 et portait le nom de code Threshold 2. Ils notent cependant que cela version du système d'exploitation est toujours prise en charge par Windows Current Branch for Business.

Les nouvelles d'aujourd'hui soulignent la sophistication des attaques menées sur Windows par les agences gouvernementales, et encore une fois l'importance de rester à jour pour atténuer le risque autant que possible.

Le rapport complet de RiskSense détaillant le nouveau hack peut être lu ici (PDF.)