Во время массовой эпидемии WannaCry в прошлом месяце, поддерживаемые версии Windows и в частности Windows 10 были защищены от атак шифровальщика. Еще в марте Редмонд выпустил патч, который закрывал эксплуатируемую зловредом уязвимость.
На этот раз команда исследователей из RiskSense успешно справилась с задачей по портированию эксплойта WannaCry для заражения Windows 10. Важно отметить, что подробные спецификации не были обнародованы, и пользователи обновленной ОС Windows 10 остаются защищенными.
Вымогатель WannaCry использовал уязвимость EternalBlue, которая была украдена у АНБ хакерской группировкой Shadow Brokers прошлым летом во время кибератаки.
Чтобы портировать EternalBlue для взлома Windows 10, исследователи RiskSense создали модуль Metasploit, который способен обходить функции безопасности Microsoft, включая предотвращение выполнения данных (DEP) и рандомизацию размещения адресного пространства (ASLR).
Также были реализованы дополнительные модификации вредоносного объекта, в частности был удален эксплойт DoublePulsar который по словам исследователей не требуется для проведения атаки. Эксплойт разрабатывался для установки асинхронного вызова процедур (APC), которая позволяет исполнять код без бэкдора.
Пользователи Windows 10 защищены
Эксперты RiskSense поясняют, что идея этого проекта заключалась в том, чтобы помочь предотвратить аналогичные атаки в будущем, а не предоставить хакерам информацию о том, как скомпрометировать Windows 10. В любом случае эти данные секретны, поэтому провести реальные атаки на компьютеры Windows 10 вряд ли удастся.
Исследователи объясняют:
“Мы опустили некоторые подробности цепочки эксплойтов, которые были бы интересны исключительно злоумышленника, а не разработчикам антивирусных решений. Исследование предназначено прежде всего для индустрии информационной безопасности с целью разработки новых методов предотвращения текущих и будущих атак. Результаты данной работы позволяют вендорам лучше понять принцип действия цепи эксплойтов и создавать более эффективные меры защиты против эксплойтов, а не полезной вредоносной нагрузки”.
Новый эксплойт был создан для работы с Windows 10 x64 версии 1511 (Ноябрьское обновление), который по-прежнему поддерживается Microsoft в ветке Current Branch for Business.
Пользователям Windows рекомендуется регулярно обновлять свои системы и убедиться, что обновление MS17-010, выпущенное Microsoft в марте, установлено на компьютере.