L'exploit EternalBlue de la NSA porté sur Windows 10

Le par  |  2 commentaire(s)
hacker

Difficile mais pas impossible, le portage de l'exploit EternalBlue sur Windows 10 est en outre confronté à des mesures d'atténuation qui complexifient de futures attaques.

Fuité par le groupe The Shadow Brokers, l'exploit EternalBlue de la NSA a été très médiatisé dans le cadre de la diffusion du crypto-ransomware WannaCry. Il a tiré parti d'une vulnérabilité dans l'implémentation du protocole SMB (Server Message Block) de Microsoft pour installer une backdoor DoublePulsar et injecter la charge utile.

nsa-cyberL'exploit EternalBlue a ciblé d'anciennes versions de Windows (Windows 7, Server 2008 R2, XP et Server 2003) ne disposant pas d'un patch idoine. Des chercheurs en sécurité de RiskSense ont étudié le portage de EternalBlue sur Windows 10.

Leur idée est d'aider à empêcher de futures attaques… et non pas de démontrer comment compromettre Windows 10. Certains détails ont volontairement été omis dans un rapport publié en début de semaine (PDF).

Ce portage est qualifié de difficile mais pas impossible. Dans les faits, il est fonctionnel avec des versions de Windows 10 antérieures à la publication au nom de code Redstone 1. Qui plus est, elles ne doivent pas disposer de la mise à jour correctrice MS17-010 disponible depuis mars 2017.

" Le portage vers la quasi-totalité des versions de Windows vulnérables qui utilisent le noyau NT est possible, en dehors de l'implémentation de défenses récemment disponibles dans les versions avancées de Windows 10 ", écrivent les chercheurs.

Ils soulignent à ce titre l'introduction de mesures d'atténuation dans Windows 10 Redstone 1 (août 2016) et Redstone 2 (avril 2017) qui aideront à protéger les utilisateurs contre les prochains exploits de la trempe de EternalBlue.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1967643
Le pdf (http://risksense.com/download/datasets/4353/EternalBlue_RiskSense%20Exploit%20Analysis%20and%20Port%20to%20Microsoft%20Windows%2010_v1_2.pdf) est très intéressant.

Par exemple, contrairement à ce qui avait été affirmé par certains ici, la vérole utilise le protocole SMB, certes, mais son fonctionnement nécessite un noyau windows et, contrairement à ce qui avait été dit, la vérole ne passe pas sur un autre OS via wine.
Le #1968320
Mais, si on désactive ce protocole, on est protégé?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]