El exploit EternalBlue de la NSA fue portado a dispositivos con Windows 10 por sombreros blancos y debido a esto, todas las versiones sin parches de Windows a XP pueden verse afectadas, un desarrollo aterrador teniendo en cuenta que EternalBlue es uno de los ciberataques más poderosos que se haya hecho público.

La mejor defensa contra EternalBlue

Los investigadores de RiskSense fueron de los primeros en analizar EternalBlue y concluyeron que no lanzarían el código fuente para el puerto de Windows 10. Un tal. la mejor defensa contra EternalBlue sigue siendo aplicar la actualización MS17-010 provista por Microsoft en marzo.

Los investigadores de RiskSense publicaron un informe explicando lo que era necesario para llevar el exploit de la NSA a Windows 10 y examinando las medidas implementadas por Microsoft que podrían mantener estos ataques en el futuro.

El analista senior de investigación Sean Dillon declaró que la investigación fue para la industria de seguridad de la información de sombrero blanco para aumentar la conciencia de las hazañas y conducir al desarrollo de nuevas técnicas de prevención.

El nuevo puerto apunta a Windows 10

El nuevo puerto apunta a Windows 10 x64 versión 1511 con nombre en código Umbral 2 lanzado en noviembre. Soportó Current Branch for Business. Los investigadores lograron eludir las mitigaciones introducidas en Windows 10 que faltaban en Windows XP, 7 u 8 y también pudieron derrotar a EternalBlue omitido para DEP y ASLR.

Las filtraciones de los ShadowBrokers fueron instantáneas de las capacidades ofensivas de la NSA y no una imagen de su arsenal actual. Por ahora, la NSA probablemente tenga una versión de Windows 10 de EternalBlue, pero hasta hoy, esta opción no ha estado disponible para los defensores.

Se cree que la NSA pudo haber alertado a Microsoft sobre la fuga inminente de ShadowBroker para darle a la compañía el tiempo suficiente para construir, probar e implementar el MS17-010 antes de la fuga.

El mejor tipo de exploit

Según Dillon, el mejor exploit que un atacante tiene a su disposición es la capacidad de EternalBlue para facilitar instantáneamente la ejecución no autenticada de código remoto en Windows.

La hazaña logró abrir nuevos caminos y Dillon dijo que este es un ataque de rocío en el núcleo de Windows. Los ataques de spray de montón son probablemente uno de los tipos de explotación más difíciles específicamente para Windows, un sistema operativo que no tiene código fuente disponible.

Según Dillon, realizar un rociador de este tipo en Linux sería difícil, pero sería más fácil que esto. Para obtener más información, puede descargar el informe en PDF que los investigadores de seguridad de RiskSense publicaron sobre este exploit.