時間:2017-06-09 來源:互聯網 瀏覽量:
更多全球網絡安全資訊盡在E安全官網www.easyaq.com
E安全6月9日訊 據報道,白帽子黑客已經將“永恒之藍”利用到Windows 10,這意味著,未打補丁的所有Microsoft操作係統都有可能被攻擊影響。
更新MS17-010補丁,很重要
RiskSense網絡安全研究小組是首批研究“永恒之藍”、DoublePulsar後門有效載荷以及NSA Fuzzbunch平台的研究團隊。他們表示,不會發布Windows 10“永恒之藍”端口的源代碼。
自“影子經紀人”四月泄露“方程式組織”針對Windows XP和Windows 7 的黑客工具以來,RiskSense網絡安全研究小組一直在研究PoC,並在WannaCry勒索病毒爆發後兩天(2017年5月14日)完成了基於“永恒之藍”的Metasploit 漏洞利用模塊。研究人員表示,應對“永恒之藍”的最佳防禦措施依然是應用Microsoft三月提供的MS17-010更新。
RiskSense網絡安全研究小組研究過程
當地時間周二,研究人員發布報告闡述了將“永恒之藍”引入Windows 10的必要性,並檢驗了Microsoft采用的緩解措施。
這項研究僅供安全人員理解並認識這些漏洞利用,從而開發新技術,以防止此類攻擊以及未來的攻擊。該研究可以幫助防禦者更好地理解該漏洞利用鏈,以構建針對該漏洞利用的防禦措施。但資深研究分析師肖恩·迪隆表示,他們省略了僅對攻擊者有用的某些細節。
Metasploit模塊
Metasploit模塊與新Windows端口是完全分離的。
Metasploit模塊是“永恒之藍”的縮減版,減少了所涉及的網絡流量,因此可以繞過自這批NSA工具泄露以來安全公司和美國政府推薦使用的許多入侵檢測係統。此外,Metasploit模塊還刪除了DoublePulsar後門。DoublePulsar是Fuzzbunch平台中所有漏洞利用扔下的內核級漏洞利用。
迪隆指出,許多安全公司對DoublePulsar傾注了過多不必要的關注。DoublePulsar分散了研究人員和防禦者的注意力。
研究人員證明,創建新的有效載荷就能直接加載惡意軟件,無需首先安裝DoublePulsar後門。因此,未來防禦這些工具不應隻關注DoublePulsa,還應關注能發現並阻止的部分。
端口
新端口針對的是基於64位係統的Windows 10 Version 1511(Threshold 2)。
研究人員能繞過Windows 10引入的緩解措施(Windows XP、Windows7、Windows8中不存在),並挫敗“永恒之藍”的DEP和ASLR繞過技術。為了轉移到Windows 10,研究人員必須創建新的DEP繞過技術。
RiskSense在報告中提到新攻擊的細節,包括新的有效載荷替代DoublePulsar。迪隆稱密碼不安全,任何人都可以加載二級惡意軟件,WannaCry就是這種情況。RiskSense的新有效載荷無需後門,允許執行用戶模式有效載荷的異步過程調用(APC)。APC可以“借用”閑置可報警的進程線程,當其依賴Offset結構函數在Windows版本之間發生變化時,APC是退出推出內核模式,進入用戶模式最可靠、最簡單的方式之一。
NSA或早就能用“永恒之藍”攻擊Windows10
影子經紀人泄露的是NSA過去使用的黑客工具,並非NSA當前的網絡武器。到目前為止,NSA很有可能掌握著Win 10版的“永恒之藍”,但是直到今天,這樣的選擇並未向防禦者提供。與此同時,“永恒之藍”仍是公之於眾的最複雜攻擊之一。
有人認為,這批NSA文件被泄露前一個月,NSA已提醒Microsoft “影子經紀人”即將放出的漏洞,以便為Microsoft預留時間構建、測試並部署MS17-010。
永恒之藍帶來的黑客知識更新
迪隆表示,真正隻有少數人能寫出原始“永恒之藍”漏洞利用,但它現在就暴露在網上,人們可以研究原始的漏洞利用及其使用的技術。這為許多業餘黑客打開了“知識”大門。要使用緩衝區溢出導致程序崩潰很容易,但執行代碼相對較難。因此,無論誰編寫了原始的“永恒之藍”漏洞利用,此人肯定通過大量實驗發現了將崩潰轉化為執行代碼的最佳途徑。
“永恒之藍”為攻擊者提供能力執行即時的遠程未驗證Windows代碼執行攻擊,這種能力是供黑客任意支配的最佳漏洞利用類型。開發人員肯定在此漏洞利用方麵取得大量新突破。
當研究人員將永恒之藍”漏洞利用的目標添加到Metasploit時,需要將大量代碼添加到Metasploit,使其支持針對64位係統的遠程內核漏洞利用,而原始的漏洞利用還針對32位係統。迪隆認為這種“壯舉”令人驚歎。
當談論針對Windows內核的堆噴射(Heap Spray)攻擊,這種攻擊可能是最深奧的攻擊類型之一,而該漏洞利用針對的是Windows,沒有可獲取的源代碼。在Linux上執行類似的堆噴射攻擊也困難,但相對要簡單得多。
企業如何應對?
盡管使用戶應升級到Windows 10 最新版本依然是目前抵禦“永恒之藍”的最佳方式,但迪隆強調,即使用戶應升級到Windows 10 最新版本,光靠打補丁仍不足以完全抵禦這類威脅。
E安全建議使用SMB服務的企業應開啟防火牆,並為需要從外部訪問內部網絡網絡的用戶設置VPN訪問。企業應詳細羅列網絡上的軟件和設備,並提供識別並部署補丁的程序。當攻擊者迅速從補丁轉移到漏洞利用時,這些措施將尤為重要。
