image

NSA-exploits geport naar alle Windows-versies sinds 2000

maandag 5 februari 2018, 15:32 door Redactie, 6 reacties

Een beveiligingsonderzoeker heeft drie exploits van de NSA die vorig jaar april online verscheen aangepast zodat ze op alle Windows-versies sinds Windows 2000 werken. Het gaat om EternalSynergy, EternalRomance en EternalChampion, zoals de exploits worden genoemd.

De exploits maken misbruik van kwetsbaarheden in de SMB-server van Windows en werden vorig jaar maart door Microsoft gepatcht. Een maand na het verschijnen van de beveiligingsupdates publiceerde een hackersgroep genaamd Shadow Brokers allerlei exploits die bij de NSA vandaan kwamen en misbruik van deze en verschillende andere kwetsbaarheden maakten. Sindsdien zijn de exploits bij allerlei aanvallen ingezet. Afgelopen oktober werd de BadRabbit-ransomware ontdekt die van de EternalRomance-exploit gebruikmaakte.

Onderzoeker Sean Dillon van securitybedrijf RiskSense heeft de exploits zo aangepast dat ze op Windows 2000 tot en met Windows Server 2016 werken. De exploits zijn speciaal gemaakt voor Metasploit, een opensourceframework voor het testen van de beveiliging van systemen en netwerken dat door allerlei security professionals wordt gebruikt. Dillon laat weten dat de software alleen voor "academisch onderzoek" en de ontwikkeling van effectieve verdedigingstechnieken is ontwikkeld, en niet bedoeld is om systemen zonder toestemming van de eigenaar aan te vallen.

RiskSense kwam vorig jaar ook al in het nieuws omdat het de EternalBlue-exploit van de NSA naar Windows 10 had geport. Deze exploit, die ook misbruik maakt van een kwetsbaarheid in de SMB-server van Windows, werd kort na de openbaarmaking door Shadow Brokers aan Metasploit toegevoegd.

Reacties (6)
05-02-2018, 16:09 door Anoniem
Goedzo. Beetje druk op Windows en de NSA.
05-02-2018, 17:21 door NeoRGx2siioKeTsiOomNjiM
Dillon laat weten dat de software alleen voor "academisch onderzoek" en de ontwikkeling van effectieve verdedigingstechnieken is ontwikkeld, en niet bedoeld is om systemen zonder toestemming van de eigenaar aan te vallen.

Niemand wil graag worden aangevallen, het feit dat het bestaat is al een AANVAL op zich.

Deze exploit, die ook misbruik maakt van een kwetsbaarheid in de SMB-server van Windows,
MISBRUIK?

I rest my case.
05-02-2018, 18:19 door Anoniem
@NeoRGx2siioKeTsiOomNjiM

Nee, het is beter als het niet in Metasploit terecht komt, en je dus niet kunt testen of je kwetsbaar bent, en ook geen waarschuwing van je pentesters daarvoor krijgt. Je kunt beter geheim houden dat je de exploit hebt, die wordt immers toch wel ontwikkeld en gebruikt door de blackhats. Ja, je snapt het helemaal. Je bent niet werkzaam in de sector begrijp ik?
05-02-2018, 22:49 door Anoniem
Het is nog erger, dan anoniem van 18:19 aanhaalt.

Aan de andere kant werkt Security through Obscurity en snake oil verkopen ook niet. Een keer vindt er proliferatie naar andere staasacteurs of algemene cybercriminelen plaats. Men moet deze rotzooi niet ontwikkelen - period - ,want eenmaal ontwikkeld door NSA of haar angelsaksische tegenhanger zit de kat al hoog in de gordijnen.

Wij van security zijn er om de zaak gezond te houden, niet om de zaken te "pn*w*n" vanwege een of andere evil Overlord,
welke edele motieven ook ter verdediging worden aangehaald.

Men heeft nu zelfs een tooltje voor de skiddiez, waar shodan.io gekoppeld wordt aan Metasploit, onder de naam Autosploit.
Komen er nu meer tieners die gevaar lopen uitgeleverd te worden vanwege het misbruiken van deze automatische shodan/Metasploit kruising tool met inderdaad dit soort exploits aan boord. Waar zijn we in cyberland in g*desnaam mee bezig, mensen?

Jodocus Oyevaer
06-02-2018, 09:30 door Anoniem
Wederom een klassiek gevalletje van de "wat-is-erger"-vraag;
Iedereen laten weten dat alle deursloten met een oude sok en een pot vaseline zijn te openen, waardoor boefjes kunnen boeven en deur-eigenaren zich kunnen wapenen, of niks zeggen en wachten tot het probleem ofwel opgelost raakt in een toevallige deurslot-upgrade, ofwel landelijk misbruikt wordt en iedereen ineens beroofd is.

Volgens mij wil iedereen dan dat de slotenboer op de hoogte wordt gesteld, die dan een deurslot-update uitrolt waar het kan, waarna de exploit responsible disclosed wordt en de rest van de traaghazen gemotiveerd wordt om zijn deurslot te pimpen.
Wie dat niet doet vraagt er dan zo ongeveer wel om... en krijgt het dan vroeg of later ook.
06-02-2018, 13:56 door Anoniem
Maar het is nog vreemder als vertegenwoordigers van overheden gaan jengelen om een encryptie-loper die op alle digitale deuren past en die dan weer niet ter beschikking moet zijn van vijandig geziende overheden en cybercriminelen en zeker niet voor de gewone" digitaal gestalkte" burgers. Dit is bij voorbaat aan te duiden als een "mission impossible" en proliferatie van de geheimen daar hoeft men slechts op te wachten. "Info digitaal gedeeld betekent in essentie info verloren".

Dit alles is dus eerder een deel van het probleem dan van de oplossing.

Als je de kwestie goed doordenkt zie je de grote afstand tussen de macht en degenen, waar zij om macht over menen te moeten voeren. Net zoals de grote Tech Multinationale Corporatie denkt over zijn eindgebruikers als product t.b.v. zijn "core business".

Hoe kan het ooit (nog) goed komen bij zulke verhoudingen ook al worden ze verdoezeld of anders voorgesteld.

Bijkomend probleem is dat het het allerovergrote deel der massa ook nog eens geen zier interesseert.
Brood en spelen voor ons allen en verder liever geen valse aanslag op onze veelgeplaagde synapsen.
Wij gaan toch liever verder als zombies en blijven de grote monocultures online in stand houden, google, facebook,
etc. etc. en de bijbehorende telemetrie, profileringen en tracking en de bijbehorende kwetsbaarheden en gaten vandien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.