האקרים של White Hat יציבו את Wannacry exploit ל-Windows 10. תודה, אני מניח?

היו שתי מערכות הפעלה של Windows חסינות במידה רבה למתקפת הסייבר האחרונה של Wannacry. הראשון, Windows XP, נחסך במידה רבה בגלל באג בקוד Wannacry, והשני, Windows 10, היה בעל הגנות מתקדמות יותר מ-Windows 7 ולכן לא ניתן היה להידבק.

שלב הכניסה השאיר את ה-White Hat Hackers מ-RiskSense, שעשו את העבודה הדרושה כדי להעביר את הניצול EternalBlue, הפריצה שנוצרה על ידי NSA בשורש Wannacry, ל-Windows 10, ויצרו מודול Metasploit המבוסס על הפריצה.

המודול המעודן שלהם כולל מספר שיפורים, עם תעבורת רשת מופחתת והסרת הדלת האחורית של DoublePulsar, שלדעתם מסיחה את דעת חוקרי האבטחה שלא לצורך.

"הדלת האחורית של DoublePulsar היא סוג של דג אדום לחוקרים ולמגינים להתמקד בו", אמר אנליסט המחקר הבכיר שון דילון. "הוכחנו זאת על ידי יצירת מטען חדש שיכול לטעון תוכנות זדוניות ישירות מבלי להתקין תחילה את הדלת האחורית של DoublePulsar. אז אנשים המחפשים להתגונן מפני התקפות אלו בעתיד לא צריכים להתמקד רק ב-DoublePulsar. התמקד באילו חלקים של הניצול אנו יכולים לזהות ולחסום."

הם פרסמו את תוצאות המחקר שלהם אך אמרו שהם הקשו על האקרים של Black Hat ללכת בעקבותיהם.

"השמטנו פרטים מסוימים של שרשרת הניצול שיהיו שימושיים רק לתוקפים ולא כל כך לבניית הגנה", ציין דילון. "המחקר מיועד לתעשיית אבטחת המידע בעלת הכובע הלבן במטרה להגביר את ההבנה והמודעות למעללים הללו כדי שניתן יהיה לפתח טכניקות חדשות שימנעו התקפות זו ועתידיות. זה עוזר למגינים להבין טוב יותר את שרשרת הניצול, כך שהם יכולים לבנות הגנות לניצול ולא למטען."

כדי להדביק את Windows 10, ההאקרים נאלצו לעקוף מניעת ביצוע נתונים (DEP) ו-Address Space Layout Randomization (ASLR) ב-Windows 10 ולהתקין מטען חדש של קריאת פרוצדורה אסינכרונית (APC) המאפשרת לבצע מטענים במצב משתמש ללא הדלת האחורית.

עם זאת, ההאקרים היו מלאי הערצה להאקרים המקוריים של NSA שיצרו את EternalBlue.

"הם בהחלט פרצו הרבה דרך חדשה עם הניצול. כאשר הוספנו את המטרות של ה-exploit המקורי ל- Metasploit, היה צורך להוסיף הרבה קוד ל- Metasploit כדי להגיע לרמה של היכולת לתמוך ב-Next של ליבה מרוחק שמכוון ל-x64", אמר דילון והוסיף כי הניצול המקורי מכוון גם ל-x86, וקורא להישג הזה "כמעט מופלא.

"אתה מדבר על התקפת ריסוס ערימה על ליבת Windows. התקפות ריסוס ערימות הן כנראה אחד מסוגי הניצול האזוטריים ביותר וזה מיועד ל-Windows, שאין לה קוד מקור זמין", אמר דילון. "ביצוע תרסיס ערימה דומה בלינוקס הוא קשה, אבל קל מזה. הושקעה בזה הרבה עבודה".

החדשות הטובות הן ש-Windows 10 עם תיקון מלא, עם MS17-010 מותקן, עדיין מוגן במלואו, כאשר הפריצה מכוונת ל-Windows 10 x64 גרסה 1511, אשר שוחררה בנובמבר 2015 וקיבלה את שם הקוד Threshold 2. הם מציינים עם זאת כי זה גרסת מערכת ההפעלה עדיין נתמכת על ידי Windows Current Branch for Business.

החדשות של היום מדגישות את התחכום של ההתקפות הנעשות על Windows על ידי סוכנויות ממשלתיות, ושוב את החשיבות להישאר מעודכן כדי להפחית את הסיכון ככל האפשר.

דוח RiskSense המלא המפרט את הפריצה החדשה ניתן לקרוא כאן (PDF.)