WannaCry a ciblé une vulnérabilité critique de Server Message Block (SMB) que Microsoft a corrigée avec son patch MS17-010 qui a été diffusé le 14 mars 2017. Le logiciel malveillant s’appuyait sur deux exploits de la NSA : EternalBlue, pour infecter les systèmes, et DoublePulsar, comme porte dérobée.Alors que les dégâts de WannaCry étaient principalement limités aux machines tournant sur Windows 7, une version différente d'EternalBlue pourrait infecter Windows 10.
C’est en tout cas ce que suggèrent des chercheurs de RiskSense. Ils ont figuré parmi les premiers à analyser EternalBlue, sa charge utile DoublePulsar et la plateforme Fuzzbunch de la NSA (souvenez-vous de Metasploit). Ils ont déclaré qu'ils ne vont pas publier le code source du port Windows 10 pendant quelque temps, le cas échéant.
Dans le cadre de leurs analyses, ils ont découvert qu’il était possible de contourner les mécanismes de sécurité de Windows 10 en modifiant le code de l’exploit EternalBlue. Selon les chercheurs, la meilleure défense contre EternalBlue consiste à appliquer la mise à jour MS17-010 fournie en mars par Microsoft.
Les chercheurs ont publié un rapport dans lequel ils expliquent ce qui est nécessaire pour porter l'exploit de la NSA sur Windows 10. Ils prennent également le temps d’examiner les mesures d'atténuation mises en œuvre par Microsoft qui peuvent bloquer ces attaques.
« Nous avons omis certains détails de la chaîne d'exploit qui ne seraient utiles qu'aux attaquants et non à la construction de défenses », a déclaré l'analyste principal de recherche Sean Dillon. « La recherche est destinée à l'industrie de la sécurité de l'information des whites HAT afin d'accroître la compréhension et la connaissance de ces exploits. L’objectif est de voir se développer de nouvelles techniques prévenir des attaques futures. Cela aide les défenseurs à mieux comprendre la chaîne d'exploit afin qu'ils puissent construire des défenses face à l'exploit plutôt que face à la charge utile » .
Le module Metasploit disponible, qui est complètement séparé du nouveau port Windows 10, est une version simplifiée d'EternalBlue qui a réduit la quantité de trafic réseau impliqué et, par conséquent, plusieurs des règles du système de détection d'intrusion créées depuis la fuite et recommandées par les entreprises de sécurité et le gouvernement américain pourraient être contournées. Il supprime également la porte dérobée DoublePulsar, à laquelle Dillon a déclaré que de nombreuses entreprises de sécurité ont accordé une attention trop importante. DoublePulsar est un exploit au niveau du noyau abandonné par tous les exploits de la plateforme Fuzzbunch.
Il affirme que son équipe et lui ont réussi à « créer une nouvelle charge utile qui peut charger des logiciels malveillants directement sans installer au préalable la porte dérobée DoublePulsar. Ainsi, les personnes qui cherchent à se défendre contre ces attaques à l'avenir ne devraient pas se concentrer uniquement sur DoublePulsar. Concentrez-vous sur les parties de l'exploit que nous pouvons détecter et bloquer ».
Le nouveau port cible Windows 10 x64 version 1511, qui a été publié en novembre et était baptisé Threshold 2, est toujours pris en charge dans Windows Current Branch for Business. Les chercheurs ont pu contourner les atténuations introduites dans Windows 10 qui ne sont pas présentes dans Windows XP, 7 ou 8, et vaincre les dérivations EternalBlue pour DEP et ASLR.
« Pour nous connecter à Windows 10, nous avons dû créer une nouvelle dérivation pour DEP », a expliqué Dillon. Le rapport RiskSense présente plus de détails sur la nouvelle attaque, y compris sur la nouvelle charge utile qui vient remplacer DoublePulsar, dont Dillon a déclaré qu'elle était cryptographiquement instable et permet à quiconque de charger des logiciels malveillants secondaires. La nouvelle charge utile de RiskSense est une Asynchronous Procedure Call (APC) qui permet d'exécuter les charges utiles du mode utilisateur sans la porte dérobée.
« Une APC peut “emprunter” un thread de processus qui se trouve dans un état alertable inactif et s'il repose sur des structures dont les décalages changent entre les versions de Microsoft Windows, c'est l'un des moyens les plus fiables et les plus faciles de sortir du mode noyau et d'entrer dans le mode utilisateur », a expliqué RiskSense.
Source : rapport de RiskSense (au format PDF)
Envoyé par alexetgus
