WannaCry ya lleva un tiempo dando a medios de todo el mundo titulares sin parar. De su irrupción destacó lo rápido que logró extenderse por todas partes. Sin embargo, lo que más llamaba la atención era que hacía uso de dos exploits de la NSA, EternalBlue y DoublePulsar. Este hecho conectaba al ransomware directamente con Shadow Brokers.
Ahora y según hemos podido saber gracias a Fossbytes, investigadores de seguridad de la empresa RiskSense han conseguido portar EternalBlue a Windows 10. La idea es que los hackers éticos puedan investigar cómo se comporta este malware en la última iteración del sistema operativo de Microsoft.
Para ello han creado un módulo Metasploit basado en el hack con bastantes mejoras. Entre otras cosas, el exploit para Windows 10 se ha reinado para tráficos de redes más bajos y se ha eliminado la puerta trasera DoublePulsar. También se ha reducido el tamaño del código del exploit un 20%.
Al parecer, se trata de una prueba de concepto en la que se lleva trabajando desde que Shadow Brokers filtraron las herramientas de la NSA. Los investigadores han publicado un informe en el que muestran qué es necesario para realizar el port. En el documento el equipo ha analizado cómo usando registros de CPU del tamaño equivocado se provoca un fallo en los cálculos.
Según los investigadores este fallo provoca una reacción en cadena que culmina en la ejecución de código malicioso. Por tanto, para los profesionales de RiskSense EternalBlue es uno de los exploits más complejos a los que se han tenido que enfrentar.
Vale la pena señalar que este port sólo funciona en versiones de Windows 10 anteriores a Redstone 1. El documento no ofrece detalles técnicos que puedan ayudar a que otros actores independientes puedan crear su propia versión del port para Windows 10, aunque sí ofrece información a investigadores y empresas para lidiar con EternalBlue.
Vía | Fossbytes
En Genbeta | Evitar una infección con WannaCry o EternalRocks: hablamos con los expertos