Hackers White Hat portam o Wannacry para o Windows 10. Obrigado, eu acho?

Havia dois sistemas operacionais Windows amplamente imunes ao recente ataque cibernético Wannacry. O primeiro, o Windows XP, foi amplamente poupado devido a um bug no código Wannacry, e o segundo, o Windows 10, tinha defesas mais avançadas que o Windows 7 e, portanto, não podia ser infectado.

No estágio inicial, os White Hat Hackers da RiskSense fizeram o trabalho necessário para portar o exploit EternalBlue, o hack criado pela NSA na raiz do Wannacry, para o Windows 10, e criaram um módulo Metasploit baseado no hack.

Seu módulo refinado apresenta várias melhorias, com tráfego de rede reduzido e a remoção da porta traseira do DoublePulsar, que eles achavam que estava distraindo os pesquisadores de segurança desnecessariamente.

“O backdoor do DoublePulsar é uma espécie de pista falsa para pesquisadores e defensores se concentrarem”, disse o analista sênior de pesquisa Sean Dillon. “Demonstramos isso criando uma nova carga útil que pode carregar malware diretamente sem precisar instalar primeiro o backdoor DoublePulsar. Portanto, as pessoas que desejam se defender contra esses ataques no futuro não devem se concentrar apenas no DoublePulsar. Concentre-se em quais partes da exploração podemos detectar e bloquear.”

Eles publicaram os resultados de sua pesquisa, mas disseram que dificultaram para os hackers da Black Hat seguirem seus passos.

“Omitimos certos detalhes da cadeia de exploração que seriam úteis apenas para invasores e não tanto para construir defesas”, observou Dillon. “A pesquisa é para o setor de segurança da informação de chapéu branco, a fim de aumentar a compreensão e a conscientização dessas explorações, para que novas técnicas possam ser desenvolvidas que evitem esse e futuros ataques. Isso ajuda os defensores a entender melhor a cadeia de exploração para que possam construir defesas para a exploração em vez da carga útil.”

Para infectar o Windows 10, os hackers tiveram que ignorar a Prevenção de Execução de Dados (DEP) e a Randomização de Layout do Espaço de Endereço (ASLR) no Windows 10 e instalar uma nova carga útil APC (Asynchronous Procedure Call) que permite que cargas úteis no modo de usuário sejam executadas sem o backdoor.

Os hackers, no entanto, estavam cheios de admiração pelos hackers originais da NSA que criaram o EternalBlue.

“Eles definitivamente abriram muitos novos caminhos com o exploit. Quando adicionamos os alvos da exploração original ao Metasploit, havia muito código que precisava ser adicionado ao Metasploit para torná-lo capaz de suportar uma exploração remota do kernel que visa x64”, disse Dillon, acrescentando que o exploit original também tem como alvo o x86, chamando esse feito de “quase milagroso.

“Você está falando sobre um ataque heap-spray no kernel do Windows. Os ataques de heap spray são provavelmente um dos tipos mais esotéricos de exploração e isso é para o Windows, que não possui código-fonte disponível”, disse Dillon. “Executar um heap spray semelhante no Linux é difícil, mas mais fácil do que isso. Muito trabalho foi feito para isso.”

A boa notícia é que o Windows 10 totalmente corrigido, com o MS17-010 instalado, ainda está totalmente protegido, com o hack direcionado ao Windows 10 x64 versão 1511, lançado em novembro de 2015 e codinome Threshold 2. Eles observam, no entanto, que isso versão do sistema operacional ainda é suportada pelo Windows Current Branch for Business.

As notícias de hoje ressaltam a sofisticação dos ataques feitos ao Windows por agências governamentais e, mais uma vez, a importância de se manter atualizado para mitigar o risco o máximo possível.

O relatório completo do RiskSense detalhando o novo hack pode ser lido aqui (PDF.)