Fuité par le groupe The Shadow Brokers, l'exploit EternalBlue de la NSA a été très médiatisé dans le cadre de la diffusion du crypto-ransomware WannaCry. Il a tiré parti d'une vulnérabilité dans l'implémentation du protocole SMB (Server Message Block) de Microsoft pour installer une backdoor DoublePulsar et injecter la charge utile.
L'exploit EternalBlue a ciblé d'anciennes versions de Windows (Windows 7, Server 2008 R2, XP et Server 2003) ne disposant pas d'un patch idoine. Des chercheurs en sécurité de RiskSense ont étudié le portage de EternalBlue sur Windows 10.
Leur idée est d'aider à empêcher de futures attaques… et non pas de démontrer comment compromettre Windows 10. Certains détails ont volontairement été omis dans un rapport publié en début de semaine (PDF).
Ce portage est qualifié de difficile mais pas impossible. Dans les faits, il est fonctionnel avec des versions de Windows 10 antérieures à la publication au nom de code Redstone 1. Qui plus est, elles ne doivent pas disposer de la mise à jour correctrice MS17-010 disponible depuis mars 2017.
" Le portage vers la quasi-totalité des versions de Windows vulnérables qui utilisent le noyau NT est possible, en dehors de l'implémentation de défenses récemment disponibles dans les versions avancées de Windows 10 ", écrivent les chercheurs.
Ils soulignent à ce titre l'introduction de mesures d'atténuation dans Windows 10 Redstone 1 (août 2016) et Redstone 2 (avril 2017) qui aideront à protéger les utilisateurs contre les prochains exploits de la trempe de EternalBlue.
