El exploit EternalBlue de la NSA fue portado a dispositivos que ejecutan Windows 10 con gorros blancos y debido a esto, cada versión no parcheada de Windows de vuelta a XP puede verse afectada, un desarrollo aterrador teniendo en cuenta que EternalBlue es uno de los ataques cibernéticos más poderosos jamás hechos públicos.
Índice del contenido
La mejor defensa contra EternalBlue
Los investigadores de RiskSense estuvieron entre los primeros en analizar EternalBlue y concluyeron que no liberarían el código fuente para el puerto de Windows 10. Por eso, la mejor defensa contra EternalBlue sigue siendo la aplicación de la actualización MS17-010 proporcionada por Microsoft en marzo.
Los investigadores de RiskSense publicaron un informe explicando lo que era necesario para llevar la explotación de la NSA a Windows 10 y examinando las medidas implementadas por Microsoft que podrían mantener estos ataques en marcha.
El analista principal de la investigación Sean Dillon declaró que la investigación era para la industria de la seguridad de la información de sombrero blanco para aumentar la conciencia de las hazañas y conducir al desarrollo de nuevas técnicas de prevención.
El nuevo puerto está dirigido a Windows 10
El nuevo puerto tiene como objetivo Windows 10 x64 versión 1511, cuyo nombre en código es Threshold 2, lanzado en noviembre. Apoyó a la rama actual de negocios. Los investigadores lograron eludir las mitigaciones introducidas en Windows 10 que faltaban en Windows XP, 7 u 8 y también pudieron derrotar a EternalBlue pasado por alto para DEP y ASLR.
Las filtraciones de los ShadowBrokers fueron instantáneas de las capacidades ofensivas de la NSA y no una imagen de su arsenal actual. Hasta ahora, la NSA probablemente tiene una versión para Windows 10 de EternalBlue, pero hasta hoy, esta opción no ha estado disponible para los defensores.
Se cree que la NSA puede haber alertado a Microsoft sobre la fuga inminente de ShadowBroker para dar a la compañía tiempo suficiente para construir, probar y desplegar el MS17-010 antes de la fuga.
El mejor tipo de exploit
Según Dillon, el mejor exploit que un atacante tiene a su disposición es la capacidad de EternalBlue para facilitar instantáneamente la ejecución no autenticada de código remoto en Windows.
La hazaña logró abrir muchos nuevos caminos y Dillon dijo que se trata de un ataque en serie al núcleo de Windows. Los ataques en heap-spray son probablemente uno de los tipos de explotación más difíciles específicamente para Windows, un sistema operativo que no tiene código fuente disponible.
Según Dillon, realizar un trabajo tan duro en Linux sería difícil, pero sería más fácil que esto. Para más información, puede descargar el informe en PDF que los investigadores de seguridad de RiskSense publicaron sobre este exploit.