Najgroźniejsze złośliwe oprogramowanie, jakie rozprzestrzeniło się w tym roku - WannaCry - za cel obrało sobie starsze wersje Windows, niemniej jednak niektóre wersje systemu były na niego zaskakująco odporne. Ominięty został zwłaszcza niewspierany Windows XP, głównie za sprawą błędu w kodzie WannaCry i niewielkiego udziału tego systemu na rynku OS. Na ransomware odporny był od początku Windows 10, który wyposażono w mechanizmy blokujące tego typu atak. Hakerzy znaleźli jednak sposób, by je ominąć.
Dokonania tego przypisuje sobie grupa White Hat Hackers z RiskSense, która najpierw przeportowała do Windows 10 stworzony przez NSA exploit EternalBlue, będący podstawą dla WannaCry, a następnie utworzyła bazujący na nim Metasploit. Moduł ten otrzymał też kilka ulepszeń, wliczając w to zredukowany transfer sieciowy i usunięcie backdoora DoublePulsar, który wzbudzał podejrzenia specjalistów bezpieczeństwa. "Zademonstrowaliśmy, że tworząc nowy payload, zdolny ładować malware bezpośrednio, nie ma konieczności uprzedniej instalacji backdoora DoublePulsar. Ludzie zamierzający bronić się przed tymi atakami w przyszłości nie powinni więc skupiać się na DoublePulsar, lecz tych częściach exploita, które możemy wykryć i zablokować" - tłumaczą hakerzy.
White Hat Hackers upublicznili rezultaty swoich badań, jednak zrobili to tak, by black hatom trudniej było pójść w ich ślady. "Ominęliśmy niektóre szczegóły łańcucha exploita, które mogłyby okazać się użyteczne dla atakujących, a niekoniecznie dla tych, którzy budują zabezpieczenia" - wyjaśnia Sean Dillon, starszy analityk z grupy hakerskiej - "Celem badania jest dostarczenie informacji white-hatom z branży bezpieczeństwa, aby zwiększyć zrozumienie i świadomość tych exploitów, i aby mogły powstawać nowe techniki chroniące przed tymi i przyszłymi atakami. Pomoże to obrońcom lepiej zrozumieć łańcuch exploita, by w przyszłości mogli budować zabezpieczenia raczej przed exploitem, niż samym payloadem".
By zainfekować Windows 10, hakerzy musieli ominąć Data Execution Prevention (DEP) oraz Address Space Layout Randomization (ASLR), a także zainstalować payload Asynchronous Procedure Call (APC), który umożliwia instalowanie payloadów w trybie użytkownika bez użycia backdoora. Dobre wieści są takie, że aktualny i załatany Windows 10 z zainstalowanym MS17-010 jest w pełni chroniony. Atak jest nakierowany na Windows 10 x64 version 1511 (wydanie z listopada 2015 r.), z którego korzysta niewielka część użytkowników, wliczając w to jednak wciąż aktualne wsparcie w gałęzi Current Branch for Business. Jeśli więc instalujemy wszystkie niezbędne aktualizacje bezpieczeństwa i używamy Anniversary Update lub Creators Update, nasze maszyny pozostają bezpieczne.
341f31d.png)