NSA의 EternalBlue 익스플로잇은 백햇을 통해 Windows 10을 실행하는 장치로 포팅되었으며, 이로 인해 패치되지 않은 모든 Windows 버전의 XP가 영향을받을 수 있습니다.

EternalBlue에 대한 최고의 방어

RiskSense의 연구원들은 EternalBlue를 최초로 분석 한 것으로 Windows 10 포트 용 소스 코드를 공개하지 않을 것이라고 결론지었습니다. 그런. EternalBlue에 대한 최선의 방어책은 3 월에 Microsoft에서 제공 한 MS17-010 업데이트를 적용하는 것입니다.

RiskSense 연구원은 NSA를 Windows 10에 도입하는 데 필요한 사항을 설명하고 이러한 공격을 계속 진행시킬 수있는 Microsoft의 조치를 조사한 보고서를 발표했습니다.

선임 연구 분석가 인 션 딜런 (San Dillon)은이 연구가 악용에 대한 인식을 높이고 새로운 예방 기술의 개발로 이어지는 백색 모자 정보 보안 산업을위한 것이라고 밝혔다.

새로운 포트는 Windows 10을 대상으로합니다

새로운 포트는 11 월에 릴리스 된 Windows 10 x64 버전 1511 코드 명 Threshold 2를 대상으로합니다. 비즈니스 용 현재 지점을 지원했습니다. 연구원들은 Windows XP, 7 또는 8에서 누락 된 Windows 10에 도입 된 완화를 우회했으며 DEP 및 ASLR에 대해 우회 된 EternalBlue를 물리 칠 수도있었습니다.

ShadowBrokers의 누출은 NSA의 공격 능력의 스냅 샷이며 현재 무기고의 이미지가 아닙니다. 지금까지 NSA에는 Windows 10 버전의 EternalBlue가있을 수 있지만 현재까지는이 옵션을 방어자에게 제공하지 않았습니다.

NSA는 누출 전에 MS17-010을 구축, 테스트 및 배포 할 수있는 충분한 시간을 제공하기 위해 임박한 ShadowBroker 누출에 대해 Microsoft에 경고 한 것으로 보입니다.

최고의 익스플로잇 유형

딜런에 따르면, 침입자가 자신을 대신하여 이용할 수있는 최선의 악용은 Windows에서 인증되지 않은 원격 코드 실행을 즉시 용이하게하는 EternalBlue의 능력입니다.

이 업적은 많은 새로운 지평을 깰 수 있었고 Dillon은 이것이 Windows 커널에 대한 힙 스프레이 공격이라고 말했습니다. 힙 스프레이 공격은 아마도 소스 코드가없는 OS 인 Windows에서 가장 어려운 유형의 공격 중 하나 일 것입니다.

Dillon에 따르면 Linux에서 이러한 힙 스프레이를 수행하는 것은 어렵지만 이보다 더 쉽습니다. 자세한 내용은 RiskSense의 보안 연구원이이 악용에 대해 게시 한 PDF 보고서를 다운로드 할 수 있습니다.