Gli hacker di White Hat trasferiscono l'exploit Wannacry su Windows 10. Grazie, immagino?

C'erano due sistemi operativi Windows in gran parte immuni al recente attacco informatico Wannacry. Il primo, Windows XP, è stato in gran parte risparmiato a causa di un bug nel codice Wannacry e il secondo, Windows 10, aveva difese più avanzate di Windows 7 e quindi non poteva essere infettato.

L'entrata in scena ha lasciato i White Hat Hackers di RiskSense, che hanno svolto il lavoro necessario per portare l'exploit EternalBlue, l'hacking creato dalla NSA alla radice di Wannacry, su Windows 10, e ha creato un modulo Metasploit basato sull'hack.

Il loro modulo raffinato presenta diversi miglioramenti, con una riduzione del traffico di rete e la rimozione della backdoor DoublePulsar, che secondo loro distraeva inutilmente i ricercatori della sicurezza.

"La backdoor di DoublePulsar è una specie di falsa pista per ricercatori e difensori su cui concentrarsi", ha affermato l'analista di ricerca senior Sean Dillon. “Lo abbiamo dimostrato creando un nuovo payload in grado di caricare il malware direttamente senza dover prima installare la backdoor DoublePulsar. Quindi le persone che cercano di difendersi da questi attacchi in futuro non dovrebbero concentrarsi esclusivamente su DoublePulsar. Concentrati su quali parti dell'exploit possiamo rilevare e bloccare".

Hanno pubblicato i risultati della loro ricerca, ma hanno affermato di aver reso difficile per gli hacker di Black Hat seguire le loro orme.

"Abbiamo omesso alcuni dettagli della catena di exploit che sarebbero utili solo agli attaccanti e non tanto per costruire difese", ha osservato Dillon. “La ricerca è per l'industria della sicurezza delle informazioni white-hat al fine di aumentare la comprensione e la consapevolezza di questi exploit in modo che possano essere sviluppate nuove tecniche che prevengano questo e futuri attacchi. Questo aiuta i difensori a comprendere meglio la catena dell'exploit in modo che possano costruire difese per l'exploit piuttosto che per il carico utile".

Per infettare Windows 10, gli hacker hanno dovuto bypassare Data Execution Prevention (DEP) e Address Space Layout Randomization (ASLR) in Windows 10 e installare un nuovo payload Asynchronous Procedure Call (APC) che consente l'esecuzione di payload in modalità utente senza backdoor.

Gli hacker erano tuttavia pieni di ammirazione per gli hacker originali della NSA che hanno creato EternalBlue.

“Hanno sicuramente aperto molte nuove strade con l'exploit. Quando abbiamo aggiunto gli obiettivi dell'exploit originale a Metasploit, c'era molto codice che doveva essere aggiunto a Metasploit per renderlo all'altezza della possibilità di supportare un exploit del kernel remoto che prendesse di mira x64", ha affermato Dillon, aggiungendo che l'exploit originale prende di mira anche x86, definendo quell'impresa "quasi miracolosa.

“Stai parlando di un attacco heap-spray al kernel di Windows. Gli attacchi heap spray sono probabilmente uno dei tipi più esoterici di sfruttamento e questo è per Windows, che non ha codice sorgente disponibile", ha affermato Dillon. “Eseguire uno spray heap simile su Linux è difficile, ma più facile di così. C'è stato molto lavoro in questo".

La buona notizia è che Windows 10 completamente patchato, con MS17-010 installato, è ancora completamente protetto, con l'hacking mirato a Windows 10 x64 versione 1511, che è stato rilasciato a novembre 2015 ed è stato chiamato in codice Threshold 2. Notano tuttavia che questo la versione del sistema operativo è ancora supportata da Windows Current Branch for Business.

La notizia di oggi sottolinea la sofisticatezza degli attacchi a Windows da parte degli enti governativi, e ancora una volta l'importanza di rimanere aggiornati per mitigare il più possibile il rischio.

Il rapporto completo di RiskSense che descrive in dettaglio il nuovo hack si può leggere qui (PDF.)