Security Week 23: EternalBlue портировали на Win10, ЦРУ атакует с файлсерверов, маркетологи незаметно заразили весь мир

Все блоги / Про интернет 9 июня 2017 358

Приключения EternalBlue продолжаются: теперь исследователи из RiskSense портировали его на Windows 10. На первый взгляд это деструктивное достижение, однако же, именно в этом состоит немалая часть работы исследователя-безопасника. Чтобы защититься от будущей угрозы, сначала надо эту угрозу создать и испытать, причем крайне желательно сделать это раньше «черных шляп».

Ранее RiskSense разработали EternalBlue-модуль для Metasploit, который отличается от оригинала тем, что его гораздо хуже детектят IDS. Из него выкинули имплант DoublePulsar который слишком хорошо изучен и не особо умеет скрываться на машине, демаскируя атаку. Вместо него исследователи разработали собственный шеллкод, который способен загрузить нужную нагрузку напрямую.

Исходный EternalBlue, как и его модуль для Metasploit, работает лишь на Windows 7 и Windows XP, а также на Windows Server 2003/2008 R2. В своем отчете компания подробно анализирует все цепочку багов, используемых эксплойтом, и из документа видно, что к подобной атаке уязвимы все системы на базе ядра NT – однако выручают защитные технологии, часть из которых EternalBlue обходить умеет, часть – не очень.
Читать дальше →

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Разбираем уязвимость CVE-2017-0263 для повышения привилегий в Windows

Май оказался богат на интересные уязвимости в популярной операционной системе. На днях злоумышленники массово заражали компьютеры вирусом-вымогателем WannaCry, эксплуатируя недостаток безопасности в протоколе SMB и инструмент, известный как Eternalblue. Чуть ранее, 9 мая, компания Microsoft

подробнее »

16 мая 2017

Powershell Empire и FuzzBunch: эксплуатация нашумевшей уязвимости ETERNALBLUE

14 апреля 2017 года был опубликован новый дамп от группы хакеров, именующих себя The Shadow Brokers. Среди прочего в дампе находится фреймворк FuzzBunch, позволяющий эксплуатировать опасные RCE-уязвимости ОС Windows практически в автоматическом режиме. Данная уязвимость устранена с выходом пачта

подробнее »

27 апреля 2017

Security Week 21: дыра в Whatsapp, новая уязвимость в процессорах Intel, Zero-Day в Windows

На прошлой неделе произошло сразу три интересных события в сфере информационной безопасности: была закрыта эксплуатируемая уязвимость в Whatsapp, для критической уязвимости в Windows выпустили патчи даже для неподдерживаемых версий ОС, а в процессорах Intel нашли еще одну Spectre-подобную проблему.

подробнее »

20 мая 2019

Security Week 19: Windows Defender запускает чужой код, в HandBrake сидел троянец, фишеры атаковали пользовалей Gmail

Весна выдалась щедрой на дыры апокалиптического масштаба, причем в самых неожиданных местах. В этот раз это не смартфон, и не роутер, а гораздо хуже – Microsoft Malware Protection Engine. Этот компонент используется Windows Defender и по умолчанию включен в Windows 8, 8.1, 10, а также в Windows

подробнее »

12 мая 2017

В ОС Windows обнаружена критическая RCE-уязвимость уровня EternalBlue

Стало известно о критичной RCE-уязвимости в Службах Удаленных рабочих столов RDS (на более ранних ОС – Служба Терминалов TS ) в ОС Windows (CVE-2019-0708), которая при успешной эксплуатации позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение произвольного

подробнее »

15 мая 2019

Security Week 21: BlueDoom защищает от WannaCry, криптолокер угрожает медтехнике, субтитры – новый вектор атаки

Благотворительный марафон сливов ShadowBrokers продолжает приносить плоды. Вслед за WannaCry в Сеть ворвался еще один червь, под завязку накачанный эксплойтами. Один семпл забрел к хорватам из местного CERT, и получил имя EternalRocks, второй такой же попался Heimdal Security и был назван не менее

подробнее »

26 мая 2017