De EternalBlue-exploit van de NSA waar de WannaCry-ransomware gebruik van maakte is door onderzoekers naar Windows 10 geport. De exploit, die bij de NSA werd gestolen en in april op internet verscheen, maakt gebruik van een kwetsbaarheid in Windows SMB Server die Microsoft in maart patchte.

Toch hadden veel systemen de update niet geïnstalleerd, zo liet WannaCry zien. De ransomware infecteerde naar schatting tussen de 2 miljoen en 3 miljoen computers. Het ging bijna alleen om Windows 7-computers. De exploit werkte namelijk niet goed op Windows XP en helemaal niet op Windows 10. Onderzoekers van RiskSense hebben de NSA-exploit echter aangepast zodat ook ongepatchte Windows 10-systemen kunnen worden aangevallen. De onderzoekers hebben echter uitgebreide technische details, alsmede een module voor de hackertool Metasploit, achterwege gelaten, om zo aanvallers niet verder te helpen.

Met hun rapport willen ze beveiligingsonderzoekers juist helpen met het ontwikkelen van generieke en gerichte technieken om dit soort aanvallen te voorkomen (pdf). Volgens de onderzoekers van RiskSense is EternalBlue namelijk één van de meest complexe exploits die ooit is gemaakt. Ze merken op dat naast Windows 10 de exploit ook kan worden aangepast voor andere Windowsversies die op de NT-kernel zijn gebaseerd.

Verder laat het rapport zien hoe een aangepaste versie van de originele exploit detectie door beveiligingssoftware weet te voorkomen. Voor deze aangepaste versie van EternalBlue is wel een Metasploit-module verschenen. Vanwege de effectiviteit van de NSA-exploit verwachten de onderzoekers dat de kwetsbaarheid de komende tien jaar nog zal worden aangevallen. "Alleen door de tools te analyseren waar aanvallers toegang toe hebben, kan de securitygemeenschap de juiste bescherming en beveiligingsmaatregelen ontwikkelen", zo concluderen de onderzoekers in hun rapport.