White Hat hakeri prenose Wannacry exploit na Windows 10. Hvala, valjda?

Postojala su dva Windows operacijska sustava uglavnom imuna na nedavni cyber napad Wannacry. Prvi, Windows XP, bio je uglavnom pošteđen zbog greške u kodu Wannacry, a drugi, Windows 10, imao je napredniju obranu od Windowsa 7 i stoga se nije mogao zaraziti.

Ulazak u fazu napustio je White Hat Hackers iz RiskSensea, koji su obavili posao potreban za prijenos EternalBlue exploita, haka koji je kreirala NSA u korijenu Wannacryja, na Windows 10, i kreirali Metasploit modul na temelju haka.

Njihov dorađeni modul sadrži nekoliko poboljšanja, sa smanjenim mrežnim prometom i uklanjanjem stražnjih vrata DoublePulsar, za koje su smatrali da nepotrebno ometaju istraživače sigurnosti.

"DoublePulsar backdoor je neka vrsta crvena haringa na koju se istraživači i branitelji mogu usredotočiti", rekao je viši istraživački analitičar Sean Dillon. “To smo pokazali stvaranjem novog tereta koji može izravno učitavati zlonamjerni softver bez prethodnog instaliranja DoublePulsar backdoor-a. Stoga se ljudi koji se žele obraniti od ovih napada u budućnosti ne bi trebali usredotočiti samo na DoublePulsar. Usredotočite se na to koje dijelove eksploatacije možemo otkriti i blokirati.”

Objavili su rezultate svog istraživanja, ali su rekli da su hakerima Black Hata otežali da krenu njihovim stopama.

"Izostavili smo određene detalje lanca iskorištavanja koji bi bili korisni samo napadačima, a ne toliko za izgradnju obrane", primijetio je Dillon. “Istraživanje je za industriju informacijske sigurnosti bijelog šešira kako bi se povećalo razumijevanje i svijest o ovim podvigima kako bi se mogle razviti nove tehnike koje sprječavaju ovaj i buduće napade. To pomaže braniteljima da bolje razumiju lanac iskorištavanja kako bi mogli izgraditi obranu za eksploataciju, a ne za teret."

Kako bi zarazili Windows 10, hakeri su morali zaobići prevenciju izvršenja podataka (DEP) i nasumično postavljanje adresnog prostora (ASLR) u sustavu Windows 10 i instalirati novo opterećenje asinkronog poziva procedura (APC) koje omogućuje izvršavanje korisnih opterećenja u korisničkom načinu bez backdoor-a.

Međutim, hakeri su bili puni divljenja prema izvornim hakerima NSA koji su stvorili EternalBlue.

“Oni su definitivno probili puno novih terena s eksploatacijom. Kad smo Metasploitu dodali ciljeve izvornog exploita, bilo je potrebno dodati mnogo koda Metasploitu kako bi bio u rangu s podrškom udaljenog iskorištavanja kernela koji cilja na x64”, rekao je Dillon, dodajući da izvorni exploit također cilja na x86, nazivajući taj podvig “gotovo čudesnim.

“Govorite o heap-spray napadu na jezgru Windowsa. Heap spray napadi su vjerojatno jedan od najezoteričnijih tipova iskorištavanja, a to je za Windows, koji nema dostupan izvorni kod”, rekao je Dillon. “Izvođenje sličnog heap spray-a na Linuxu je teško, ali lakše od ovoga. U ovo je uloženo puno posla.”

Dobra vijest je da je potpuno zakrpljeni Windows 10, s instaliranim MS17-010, još uvijek potpuno zaštićen, a hak je usmjeren na Windows 10 x64 verziju 1511, koji je objavljen u studenom 2015. i nosio je kodni naziv Threshold 2. Međutim, napominju da je ovo verziju OS-a i dalje podržava Windows Current Branch for Business.

Današnje vijesti naglašavaju sofisticiranost napada koje na Windows vrše vladine agencije i još jednom važnost ažuriranja kako bi se rizik što je više moguće ublažio.

Cijelo izvješće RiskSensea s detaljima o novom hakiranju možete pročitati ovdje (PDF.)