Beyaz Şapka korsanları, Wannacry açıklarını Windows 10'a taşıyor. Teşekkürler, sanırım?

Son Wannacry siber saldırısına karşı büyük ölçüde bağışık olan iki Windows işletim sistemi vardı. Birincisi, Windows XP, Wannacry kodundaki bir hata nedeniyle büyük ölçüde korundu ve ikincisi, Windows 10, Windows 7'den daha gelişmiş savunmalara sahipti ve bu nedenle virüs bulaşamadı.

Giriş aşaması, Wannacry'nin kökünde NSA tarafından oluşturulan saldırı olan EternalBlue açığını taşımak için gereken işi yapan RiskSense'ten Beyaz Şapkalı Hacker'ları Windows 10'a bıraktı ve saldırıya dayalı bir Metasploit modülü oluşturdu.

Geliştirilmiş modülleri, azaltılmış ağ trafiği ve güvenlik araştırmacılarının gereksiz yere dikkatini dağıttığını düşündükleri DoublePulsar arka kapısının kaldırılması ile çeşitli iyileştirmeler içeriyor.

Kıdemli araştırma analisti Sean Dillon, "DoublePulsar arka kapısı, araştırmacıların ve savunucuların odaklanması için bir tür kırmızı ringa balığıdır" dedi. “DoublePulsar arka kapısını kurmak zorunda kalmadan doğrudan kötü amaçlı yazılım yükleyebilen yeni bir yük oluşturarak bunu gösterdik. Dolayısıyla gelecekte bu saldırılara karşı savunma yapmak isteyen insanlar yalnızca DoublePulsar'a odaklanmamalıdır. İstismarın hangi kısımlarını tespit edip engelleyebileceğimize odaklanın.”

Araştırmalarının sonuçlarını yayınladılar, ancak Black Hat bilgisayar korsanlarının ayak izlerini takip etmelerini zorlaştırdıklarını söylediler.

Dillon, "Sömürü zincirinin yalnızca saldırganlar için yararlı olacak ve savunma oluşturmak için çok fazla olmayan bazı ayrıntılarını atladık" dedi. “Araştırma, beyaz şapkalı bilgi güvenliği endüstrisi için, bu açıklardan yararlanmaların anlaşılmasını ve farkındalığını artırmak, böylece bu ve gelecekteki saldırıları önleyen yeni tekniklerin geliştirilebilmesi için. Bu, savunucuların istismar zincirini daha iyi anlamalarına yardımcı olur, böylece yükten ziyade istismar için savunma oluşturabilirler.”

Windows 10'a bulaşmak için bilgisayar korsanlarının Windows 10'da Veri Yürütme Engellemesi (DEP) ve Adres Alanı Düzeni Rastgeleleştirmesini (ASLR) atlamaları ve kullanıcı modu yüklerinin arka kapı olmadan yürütülmesine izin veren yeni bir Eşzamansız Yordam Çağrısı (APC) yükü yüklemeleri gerekiyordu.

Ancak bilgisayar korsanları, EternalBlue'yu yaratan orijinal NSA bilgisayar korsanlarına hayranlıkla doluydu.

“İstismarla kesinlikle birçok yeni çığır açtılar. Orijinal istismarın hedeflerini Metasploit'e eklediğimizde, onu x64'ü hedefleyen bir uzak çekirdek istismarını destekleyebilmek için Metasploit'e eklenmesi gereken çok sayıda kod vardı,” dedi Dillon, şunları ekledi: orijinal istismar da x86'yı hedef alıyor ve bu başarıyı "neredeyse mucizevi" olarak nitelendiriyor.

“Windows çekirdeğine yığın püskürtme saldırısından bahsediyorsunuz. Yığın püskürtme saldırıları muhtemelen en ezoterik istismar türlerinden biridir ve bu, kaynak kodu olmayan Windows içindir, ”dedi Dillon. “Linux'ta benzer bir yığın püskürtme yapmak zor ama bundan daha kolay. Bunun için çok çalışma yapıldı.”

İyi haber şu ki, MS10-17'un kurulu olduğu tam yama uygulanmış Windows 010, Kasım 10'te piyasaya sürülen ve kod adı Threshold 64 olan Windows 1511 x2015 sürüm 2'i hedefleyen saldırı ile hala tam olarak korunuyor. işletim sisteminin sürümü hala Windows Current Branch for Business tarafından desteklenmektedir.

Bugünkü haberler, devlet kurumları tarafından Windows'a yapılan saldırıların karmaşıklığının ve riski olabildiğince azaltmak için güncel kalmanın önemini bir kez daha vurguluyor.

Yeni hack'i detaylandıran tam RiskSense raporu buradan okuyabilirsiniz (PDF.)