NSAのEternalBlueエクスプロイトは、Windows 10を実行しているデバイスに白い帽子で移植されたため、XPに戻ったWindowsのすべてのパッチ未適用バージョンが影響を受ける可能性があります。

EternalBlueに対する最高の防御

RiskSenseの研究者は、EternalBlueを最初に分析し、Windows 10ポートのソースコードをリリースしないと結論付けました。 そのような。 EternalBlueに対する最善の防御策は、Microsoftが3月に提供したMS17-010更新プログラムを適用することです。

RiskSenseの研究者は、Windows 10にNSAエクスプロイトをもたらすために必要なものを説明し、これらの攻撃を前進させる可能性のあるMicrosoftによって実装された対策を調査す​​るレポートを公開しました。

上級調査アナリストのショーン・ディロンは、この研究はホワイトハットの情報セキュリティ業界がエクスプロイトに対する認識を高め、新しい防止技術の開発につながることを目的としていると述べました。

新しいポートはWindows 10を対象としています

新しいポートは、11月にリリースされたコード名「Threshold 2」というWindows 10 x64バージョン1511を対象としています。 Current Branch for Businessをサポートしました。 研究者は、Windows XP、7または8に欠けていたWindows 10で導入された緩和策をバイパスすることができ、DEPおよびASLRでバイパスされたEternalBlueを無効にすることもできました。

ShadowBrokersのリークは、NSAの攻撃能力のスナップショットであり、現在の武器のイメージではありません。 現在、NSAにはおそらくWindows 10バージョンのEternalBlueがありますが、今日まで、このオプションはディフェンダーには利用できませんでした。

NSAは、差し迫ったShadowBrokerリークについてMicrosoftに警告し、リーク前にMS17-010を構築、テスト、展開するための十分な時間を与えたと考えられています。

最良のタイプのエクスプロイト

Dillonによると、攻撃者が自由に使える最大のエクスプロイトは、Windowsでのリモートコードの認証されていない実行を即座に促進するEternalBlueの能力です。

この偉業は多くの新境地を切り開くことに成功し、DillonはこれがWindowsカーネルに対するヒープスプレー攻撃であると述べました。 ヒープスプレー攻撃は、おそらくソースコードが利用できないOSであるWindowsで最も悪用されるタイプの攻撃の1つです。

Linuxでこのようなヒープスプレーを実行することは困難ですが、Dillon氏によれば、これよりも簡単です。 詳細については、RiskSenseのセキュリティ研究者がこのエクスプロイトについて公開したPDFレポートをダウンロードできます。