White Hat hackers port Wannacry exploit till Windows 10. Tack, antar jag?

Det fanns två Windows-operativsystem i stort sett immuna mot den senaste Wannacry-cyberattacken. Den första, Windows XP, var till stor del skonad på grund av en bugg i Wannacry-koden, och den andra, Windows 10, hade mer avancerade försvar än Windows 7 och kunde därför inte infekteras.

Enter scenen lämnade White Hat Hackers från RiskSense, som gjorde det arbete som behövdes för att porta EternalBlue-exploatet, det NSA-skapade hacket vid roten av Wannacry, till Windows 10, och skapade en Metasploit-modul baserad på hacket.

Deras förfinade modul har flera förbättringar, med minskad nätverkstrafik och borttagningen av DoublePulsar-bakdörren, som de ansåg distraherade säkerhetsforskare i onödan.

"DoublePulsar-bakdörren är en sorts röd sill för forskare och försvarare att fokusera på", säger senior forskningsanalytiker Sean Dillon. "Vi visade det genom att skapa en ny nyttolast som kan ladda skadlig programvara direkt utan att först behöva installera DoublePulsar-bakdörren. Så människor som vill försvara sig mot dessa attacker i framtiden bör inte fokusera enbart på DoublePulsar. Fokusera på vilka delar av utnyttjandet vi kan upptäcka och blockera.”

De publicerade resultaten av sin forskning men sa att de gjorde det svårt för Black Hat-hackare att följa i deras fotspår.

"Vi har utelämnat vissa detaljer i exploateringskedjan som bara skulle vara användbara för angripare och inte så mycket för att bygga försvar," noterade Dillon. "Forskningen är till för informationssäkerhetsindustrin med vita hattar för att öka förståelsen och medvetenheten om dessa utnyttjande så att nya tekniker kan utvecklas som förhindrar detta och framtida attacker. Detta hjälper försvarare att bättre förstå exploateringskedjan så att de kan bygga försvar för exploateringen snarare än nyttolasten.”

För att infektera Windows 10 var hackarna tvungna att kringgå Data Execution Prevention (DEP) och Address Space Layout Randomization (ASLR) i Windows 10 och installera en ny Asynchronous Procedure Call (APC) nyttolast som gör att nyttolaster i användarläge kan exekveras utan bakdörren.

Hackarna var dock fulla av beundran för de ursprungliga NSA-hackarna som skapade EternalBlue.

"De bröt definitivt en hel del ny mark med bedriften. När vi lade till målen för den ursprungliga exploateringen till Metasploit, var det mycket kod som behövde läggas till Metasploit för att få det upp i nivå med att kunna stödja en fjärrexploatör för kärnan som riktar sig till x64”, sa Dillon och tillade att den ursprungliga exploateringen riktar sig också mot x86 och kallar den bedriften "nästan mirakulös.

"Du pratar om en heap-spray-attack på Windows-kärnan. Högsprayattacker är förmodligen en av de mest esoteriska typerna av exploatering och det här är för Windows, som inte har någon källkod tillgänglig, säger Dillon. "Att utföra en liknande heap-spray på Linux är svårt, men enklare än så här. Det har lagts ner mycket arbete på det här."

Den goda nyheten är att helt patchad Windows 10, med MS17-010 installerad, fortfarande är helt skyddad, med hacket inriktat på Windows 10 x64 version 1511, som släpptes i november 2015 och fick kodnamnet Threshold 2. De noterar dock att detta versionen av operativsystemet stöds fortfarande av Windows Current Branch for Business.

Dagens nyheter understryker det sofistikerade i de attacker som görs på Windows av statliga myndigheter, och återigen vikten av att hålla sig uppdaterad för att minska risken så mycket som möjligt.

Den fullständiga RiskSense-rapporten som beskriver det nya hacket kan läsas här (PDF.)