Hackerii White Hat portul Wannacry exploatează Windows 10. Mulțumesc, cred?

Au existat două sisteme de operare Windows în mare măsură imune la recentul atac cibernetic Wannacry. Primul, Windows XP, a fost cruțat în mare parte din cauza unei erori în codul Wannacry, iar al doilea, Windows 10, avea sisteme de apărare mai avansate decât Windows 7 și, prin urmare, nu putea fi infectat.

Faza de intrare a părăsit White Hat Hackers de la RiskSense, care au făcut munca necesară pentru a porta exploitul EternalBlue, hack-ul creat de NSA la rădăcina Wannacry, la Windows 10 și au creat un modul Metasploit bazat pe hack.

Modulul lor rafinat prezintă mai multe îmbunătățiri, cu trafic de rețea redus și eliminarea ușii din spate DoublePulsar, despre care au considerat că distrage atenția cercetătorilor de securitate în mod inutil.

„Ușa din spate DoublePulsar este un fel de o cale roșie pe care să se concentreze cercetătorii și apărătorii”, a spus analistul senior de cercetare Sean Dillon. „Am demonstrat acest lucru prin crearea unei noi încărcături utile care poate încărca malware direct, fără a fi nevoie să instalați mai întâi ușa de spate DoublePulsar. Așa că oamenii care doresc să se apere împotriva acestor atacuri în viitor nu ar trebui să se concentreze doar pe DoublePulsar. Concentrați-vă pe ce părți ale exploit-ului putem detecta și bloca.”

Ei au publicat rezultatele cercetării lor, dar au spus că au îngreunat hackerii Black Hat să le calce pe urme.

„Am omis anumite detalii ale lanțului de exploatare care ar fi utile doar atacatorilor și nu atât pentru construirea de apărări”, a menționat Dillon. „Cercetarea se adresează industriei de securitate a informațiilor cu pălărie albă, pentru a crește înțelegerea și conștientizarea acestor exploatări, astfel încât să poată fi dezvoltate noi tehnici care să prevină acest atac și atacurile viitoare. Acest lucru îi ajută pe apărători să înțeleagă mai bine lanțul de exploatare, astfel încât să poată construi apărări pentru exploatare, mai degrabă decât pentru sarcina utilă.”

Pentru a infecta Windows 10, hackerii au trebuit să ocolească Data Execution Prevention (DEP) și Address Space Layout Randomization (ASLR) în Windows 10 și să instaleze o nouă sarcină utilă APC (Asynchronous Procedure Call) care permite încărcărilor utile în modul utilizator să fie executate fără ușă secundară.

Hackerii au fost totuși plini de admirație pentru hackerii originali NSA care au creat EternalBlue.

„Cu siguranță au deschis o mulțime de noi terenuri cu exploit. Când am adăugat țintele exploit-ului inițial la Metasploit, a fost nevoie de o mulțime de coduri care trebuiau adăugate la Metasploit pentru ca acesta să fie la egalitate cu capacitatea de a suporta un exploit de kernel la distanță care vizează x64”, a spus Dillon, adăugând că exploit-ul inițial vizează și x86, numind această performanță „aproape miraculoasă.

„Vorbiți despre un atac de tip heap-spray asupra nucleului Windows. Atacurile cu spray-uri sunt probabil unul dintre cele mai ezoterice tipuri de exploatare și acesta este pentru Windows, care nu are cod sursă disponibil”, a spus Dillon. „Efectuarea unui spray similar pe Linux este dificil, dar mai ușor decât asta. S-a muncit mult în asta.”

Vestea bună este că Windows 10 complet corectat, cu MS17-010 instalat, este încă complet protejat, hack-ul vizează Windows 10 x64 versiunea 1511, care a fost lansat în noiembrie 2015 și a fost numit de cod Threshold 2. Ei notează însă că acest lucru versiunea sistemului de operare este încă acceptată de Windows Current Branch for Business.

Știrile de astăzi subliniază sofisticarea atacurilor făcute de agențiile guvernamentale asupra Windows și încă o dată importanța de a rămâne la zi pentru a atenua riscul cât mai mult posibil.

Raportul complet RiskSense care detaliază noul hack poate fi citit aici (PDF.)