L'exploit EternalBlue de la NSA a été porté par des chapeaux blancs sur des appareils exécutant Windows 10 et, de ce fait, chaque version non corrigée de Windows vers XP peut être affectée. Un développement terrifiant considérant qu'EternalBlue est l'une des cyberattaques les plus puissantes jamais rendues publiques.

La meilleure défense contre EternalBlue

Les chercheurs de RiskSense ont été parmi les premiers à analyser EternalBlue et ont conclu qu'ils ne publieraient pas le code source du port Windows 10. Un tel. la meilleure défense contre EternalBlue reste d’appliquer la mise à jour MS17-010 fournie par Microsoft en mars.

Les chercheurs de RiskSense ont publié un rapport expliquant ce qui était nécessaire pour intégrer l'exploit de la NSA à Windows 10 et en examinant les mesures mises en œuvre par Microsoft pour faire en sorte que ces attaques évoluent.

Selon l'analyste principal de la recherche, Sean Dillon, la recherche portait sur le secteur de la sécurité de l'information du chapeau blanc afin de mieux faire connaître les exploits et de développer de nouvelles techniques de prévention.

Le nouveau port cible Windows 10

Le nouveau port cible Windows 10 x64 version 1511, nom de code Threshold 2, publié en novembre. Il soutenait Current Branch for Business. Les chercheurs ont réussi à contourner les mesures d'atténuation introduites dans Windows 10 qui étaient absentes de Windows XP, 7 ou 8 et à vaincre EternalBlue contourné pour DEP et ASLR.

Les fuites des ShadowBrokers étaient des instantanés des capacités offensives de la NSA et non une image de leur arsenal actuel. A l'heure actuelle, la NSA dispose probablement d'une version EternalBlue sous Windows 10, mais jusqu'à présent, cette option n'était pas disponible pour les défenseurs.

La NSA aurait peut-être averti Microsoft de la fuite imminente de ShadowBroker afin de donner à l'entreprise suffisamment de temps pour créer, tester et déployer le MS17-010 avant la fuite.

Le meilleur type d'exploit

Selon Dillon, le meilleur exploit qu'un attaquant ait à sa disposition est la capacité d'EternalBlue à faciliter instantanément l'exécution non authentifiée de code à distance sous Windows.

L’exploit a réussi à innover et Dillon a expliqué qu’il s’agissait d’une attaque de type heap-spray sur le noyau Windows. Les attaques par tas sont probablement l’un des types d’exploitation les plus difficiles spécifiquement pour Windows, un système d’exploitation qui n’a pas de code source disponible.

Effectuer une telle pulvérisation sur Linux serait difficile, mais serait plus facile que cela, selon Dillon. Pour plus d'informations, vous pouvez télécharger le rapport au format PDF publié par les chercheurs en sécurité de RiskSense sur cet exploit.