Исследователи портировали эксплоит EternalBlue на Windows 10

Эксперты компании RiskSense портировали печально известный эксплоит EternalBlue на ОС Windows 10. Напомним, данный эксплоит был предположительно похищен у организации Equation Group (многие эксперты считают ее секретным хакерским подразделением Агентства национальной безопасности США) и выложен в открытый доступ в апреле нынешнего года. EternalBlue использовался вымогательским ПО WannaCry как часть механизма самораспространения.

Как показал анализ эксплоита, он работает на Windows XP, Windows Vista, Windows 7, Windows Server 2003 и Windows Server 2008. После выхода обновленной версии WannaCry исследователи портировали EternalBlue на Windows 8, Windows 8.1 и Windows Server 2012.

Во вторник, 6 июня, эксперты RiskSense Шон Диллон (Sean Dillon)и Дилан Дэвис (Dylan Davis) объявили о создании версии эксплоита для Windows 10. Правда, инструмент работает не на всех версиях «десятки», а только на выпущенных до Redstone 1 (до апреля 2016 года).

Как пояснили исследователи, в Windows 10 Redstone 1 появились улучшения, блокирующие возможность обойти функцию предотвращения обхода данных (DEP), которую использует EternalBlue. В Windows 10 Redstone 2 (Creators Update) была добавлена защита от технологии ASLR, также используемой эксплоитом.

Исследователям удалось не только портировать EternalBlue, но и внести некоторые улучшения – на 20% уменьшить размер и убрать необходимость использования эксплоита вместе с бэкдором DoublePulsar.

Предотвращение выполнения данных (DEP) – функция безопасности в Linux, Mac OS X, Android и Windows, не позволяющая приложению выполнить код из области памяти, помеченной как «только для данных».

ASLR («рандомизация размещения адресного пространства») – применяемая в операционных системах технология, предполагающая изменение случайным образом расположения в адресном пространстве процесса важных структур данных, а именно образов исполняемого файла, подгружаемых библиотек, кучи и стека.