NSA'nın EternalBlue suistimali, Windows 10 çalıştıran cihazlara beyaz şapkalarla taşınıyordu ve bu nedenle, Windows’un XP’ye geri gönderilmeyen her sürümü etkilenebilir, EternalBlue’nun göz önünde bulundurduğu en güçlü siber saldırılardan biri olduğunu düşündüren korkunç bir gelişme.

EternalBlue'ya karşı en iyi savunma

RiskSense'in araştırmacıları, EternalBlue’u ilk analiz edenler arasındaydı ve Windows 10 portunun kaynak kodunu bırakmayacaklarına karar verdi. Böyle bir. EternalBlue'ya karşı en iyi savunma, Mart ayında Microsoft tarafından sağlanan MS17-010 güncellemesini uygulamaktır.

RiskSense araştırmacıları, NSA'nın istismarını Windows 10'a getirmek için neyin gerekli olduğunu açıklayan ve bu saldırıları ilerletmeye devam edebilecek önlemleri inceleyen bir rapor yayınladı.

Kıdemli araştırma analisti Sean Dillon, araştırmanın istismarlar konusundaki farkındalığı arttırmak ve yeni önleme tekniklerinin geliştirilmesine öncülük etmek için beyaz şapka bilgi güvenliği endüstrisi için olduğunu belirtti.

Yeni bağlantı noktası Windows 10'u hedefliyor

Yeni bağlantı noktası, Kasım ayında piyasaya sürülen Windows 10 x64 sürüm 1511 kod adımı Threshold 2'yi hedefliyor. Cari İşletme Şubesini destekledi. Araştırmacılar, Windows 10'da sunulan ve Windows XP, 7 veya 8'den eksik olan azaltmalarını atlamayı başardılar ve DEP ve ASLR için atlanan EternalBlue'yu da yenebildiler.

ShadowBrokers'ın sızıntıları, mevcut cephaneliklerinin bir görüntüsü değil, NSA'nın saldırganlık yeteneklerinin anlık görüntüleriydi. Şimdiye kadar, NSA muhtemelen Windows 10 EternalBlue versiyonuna sahipti ancak bugüne kadar bu seçenek savunucuların kullanımına açık değildi.

NSA'nın Microsoft'a, yaklaşmakta olan ShadowBroker sızıntısı konusunda şirketi, sızıntıdan önce MS17-010'u kurmak, test etmek ve dağıtmak için yeterli zaman vermesi konusunda uyarmış olabileceğine inanılıyor.

En iyi kullanım türü

Dillon'a göre, bir saldırganın emrinde olan en iyi istismar, EternalBlue'nun Windows'da uzaktan kimliği doğrulanmamış bir şekilde çalıştırılmasını anında kolaylaştırması yeteneğidir.

Feat, yeni bir çığır açmayı başardı ve Dillon, bunun Windows çekirdeğine yapılan bir yığın sprey saldırısı olduğunu söyledi. Yığınla püskürtme saldırıları, kaynak kodu olmayan bir işletim sistemi olan ve özellikle Windows için en zor kullanım türlerinden biridir.

Dillon'a göre böyle bir yığın spreyi yapmak zor olurdu, ancak bundan daha kolay olurdu. Daha fazla bilgi için, güvenlik araştırmacılarının bu istismarla ilgili olarak yayınlanan RiskSense’teki PDF araştırmacılarını indirebilirsiniz.