Xakep #305. Многошаговые SQL-инъекции
Название эксплоита EternalBlue, направленного на эксплуатацию уязвимости в протоколе SMB, хорошо знакомо даже рядовым пользователям, ведь именно этот инструмент использовался для распространения шифровальщика WannaCry в мае 2017 года.
Эксплоит был опубликован хакерской группировкой The Shadow Brokers в открытом доступе в апреле текущего года. Хакеры похитили этот и многие другие инструменты у Equation Group – группировки, за которой стоят «правительственные хакеры» из АНБ.
Работу EternalBlue изучали многие компании и специалисты, он уже был включен в состав Metasploit, так что на данный момент хорошо известно, что эксплоит работает против Windows XP, Windows Vista, Windows 7, Windows Server 2003 и Windows Server 2008, причем в некоторых случаях добиться заражения весьма непросто. Также исследователям удалось добиться работы EternalBlue с Windows 8, Windows 8.1 и Windows Server 2012.
Теперь специалисты компании RiskSense, Шон Диллон (Sean Dillon) и Дилан Девис (Dylan Davis) сообщили, что им удалось адаптировать эксплоит для работы с Windows 10.
Исследователи пишут, что их эксплоит работает только для версий младше Windows 10 Redstone 1 (версия от апреля 2016 года) и в системе не должно быть патча MS17-010. Дело в том, что с релизом Windows 10 Redstone 1 был закрыт обход DEP (Data Execution Prevention), который использует EternalBlue. Также выход версии Windows 10 Redstone 2 (Creators Update, апрель 2017 года) закрыл обход ASLR (Address Space Layout Randomization), которым также пользовался эксплоит. Именно поэтому более новые версии Windows 10 неплохо защищены от EternalBlue.
Также специалисты похвастались тем, что сумели сократить код эксплоита на 20% и избавились от необходимости использовать совместно с EternalBlue инструмент DoublePulsar, как это делал WannaCry.