Исследователи портировали эксплоит EternalBlue на Windows 10

Эксперты компании RiskSense портировали печально известный эксплоит EternalBlue на ОС Windows 10. Напомним, данный эксплоит был предположительно похищен у организации Equation Group (многие эксперты считают ее секретным хакерским подразделением Агентства национальной безопасности США) и выложен в открытый доступ в апреле нынешнего года. EternalBlue использовался вымогательским ПО WannaCry как часть механизма самораспространения.

Как показал анализ эксплоита, он работает на Windows XP, Windows Vista, Windows 7, Windows Server 2003 и Windows Server 2008. После выхода обновленной версии WannaCry исследователи портировали EternalBlue на Windows 8, Windows 8.1 и Windows Server 2012.

Во вторник, 6 июня, эксперты RiskSense Шон Диллон (Sean Dillon)и Дилан Дэвис (Dylan Davis) объявили о создании версии эксплоита для Windows 10. Правда, инструмент работает не на всех версиях «десятки», а только на выпущенных до Redstone 1 (до апреля 2016 года).

Как пояснили исследователи, в Windows 10 Redstone 1 появились улучшения, блокирующие возможность обойти функцию предотвращения обхода данных (DEP), которую использует EternalBlue. В Windows 10 Redstone 2 (Creators Update) была добавлена защита от технологии ASLR, также используемой эксплоитом.

Исследователям удалось не только портировать EternalBlue, но и внести некоторые улучшения – на 20% уменьшить размер и убрать необходимость использования эксплоита вместе с бэкдором DoublePulsar.

Предотвращение выполнения данных (DEP) – функция безопасности в Linux, Mac OS X, Android и Windows, не позволяющая приложению выполнить код из области памяти, помеченной как «только для данных».

ASLR («рандомизация размещения адресного пространства») – применяемая в операционных системах технология, предполагающая изменение случайным образом расположения в адресном пространстве процесса важных структур данных, а именно образов исполняемого файла, подгружаемых библиотек, кучи и стека.

Нравится2
Комментарии (3)
  • 6
    По мне так это всего-навсего одна из многих дырок. Радует что прикрыта. Один фиг на патчи лучше не надеяться и защититься толковым фаером. Антивирусы бессильны перед эксплоитами и это факт.
  • 0
    falsh777
    К сожалению, чтобы фаерволл тебя защищал, тоже недостаточно просто его установить. Многие отключают функции фаерволла, чтобы он "сидел тихо" и "не рыпался". Честно говоря, я и сам такой. Мне лень реагировать на каждый "подозрительный шаг" какой-то очередной программы.
  • 0
    Burglar2k написал:
    Мне лень реагировать на каждый "подозрительный шаг" какой-то очередной программы.

    Дык он же учится. Когда ты подтвердил запрос сие действо запоминается и больше мозг не выносит.
    Burglar2k написал:
    Многие отключают функции фаерволла, чтобы он "сидел тихо" и "не рыпался"

    Ну и нафиг он нужен тогда?
B
i
u
Спойлер