Co je EternalBlue?

„EternalBlue“ je název pro uniklý exploit vyvinutý NSA pro zranitelnost v SMBv1, která byla přítomna ve všech operačních systémech Windows mezi Windows 95 a Windows 10. Server Message Block verze 1 nebo SMBv1 je komunikační protokol, který se používá ke sdílení přístupu k souborům, tiskárnám a sériovým portům přes síť.

Tip: NSA byla dříve identifikována jako aktér hrozby „Equation Group“, než s ní byly spojeny toto a další exploity a aktivity.

NSA identifikovala zranitelnost v protokolu SMB minimálně již v roce 2011. V rámci své strategie hromadění zranitelných míst pro vlastní použití se rozhodl neprozradit to Microsoftu, aby mohl být problém opraven. NSA poté vyvinula exploit pro problém, který nazvali EternalBlue. EternalBlue je schopen poskytnout úplnou kontrolu nad zranitelným počítačem, protože umožňuje spuštění libovolného kódu na úrovni správce bez nutnosti interakce uživatele.

The Shadow Brokers

V určitém okamžiku, před srpnem 2016, byla NSA napadena skupinou, která si říkala „The Shadow Brokers“, o níž se věřilo, že jde o hackerskou skupinu podporovanou ruským státem. Shadow Brokers získali přístup k velkému množství dat a hackerských nástrojů. Zpočátku se je pokusili vydražit a prodat za peníze, ale zaznamenali malý zájem.

Tip: „Státem sponzorovaná hackerská skupina“ je jeden nebo více hackerů, kteří působí buď s výslovným souhlasem, podporou a vedením vlády, nebo pro oficiální vládní útočné kybernetické skupiny. Každá z možností naznačuje, že skupiny jsou velmi dobře kvalifikované, cílené a rozvážné ve svých akcích.

Poté, co NSA zjistila, že jejich nástroje byly kompromitovány, informovala Microsoft o podrobnostech zranitelnosti, aby mohla být vyvinuta oprava. Oprava, původně plánovaná na vydání v únoru 2017, byla posunuta na březen, aby se zajistilo správné vyřešení problémů. Dne 14čt z března 2017 společnost Microsoft zveřejnila aktualizace, přičemž zranitelnost EternalBlue byla podrobně popsána bezpečnostní bulletin MS17-010, pro Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 a Server 2016.

O měsíc později, 14čt dubna The Shadow Brokers zveřejnili exploit spolu s desítkami dalších exploitů a podrobností. Bohužel, přestože byly záplaty k dispozici měsíc před zveřejněním exploitů, mnoho systémů záplaty nenainstalovalo a zůstaly zranitelné.

Použití EternalBlue

Necelý měsíc poté, co byly exploity zveřejněny, 12čt května 2017 byl spuštěn ransomwarový červ „Wannacry“ pomocí exploitu EternalBlue, aby se rozšířil na co nejvíce systémů. Následující den Microsoft vydal nouzové bezpečnostní záplaty pro nepodporované verze Windows: XP, 8 a Server 2003.

Tip: „Ransomware“ je třída malwaru, která zašifruje infikovaná zařízení a poté uchová dešifrovací klíč k výkupnému, obvykle pro bitcoiny nebo jiné kryptoměny. „Červ“ je třída malwaru, který se automaticky šíří do dalších počítačů, místo aby vyžadoval, aby byly počítače jednotlivě infikovány.

Podle IBM X-Force ransomwarový červ „Wannacry“ byl zodpovědný za více než 8 miliard USD ve 150 zemích, i když tento exploit spolehlivě fungoval pouze na Windows 7 a Server 2008. V únoru 2018 bezpečnostní výzkumníci úspěšně upravili exploit, aby mohl spolehlivě fungovat na všech verzích Windows od Windows 2000.

V květnu 2019 bylo americké město Baltimore zasaženo kyberútokem využívajícím exploit EternalBlue. Řada odborníků na kybernetickou bezpečnost poukázala na to, že této situaci lze zcela předejít, protože záplaty byly k dispozici déle než dva roky, což je časové období, po které by měly být alespoň „kritické bezpečnostní záplaty“ s „veřejným zneužitím“ nainstalováno.