„EternalBlue“ ist der Name für einen durchgesickerten, von der NSA entwickelten Exploit für eine Schwachstelle in SMBv1, die in allen Windows-Betriebssystemen zwischen Windows 95 und Windows 10 vorhanden war. Server Message Block Version 1 oder SMBv1 ist ein Kommunikationsprotokoll, das verwendet wird, um den Zugriff auf Dateien, Drucker und serielle Ports über das Netzwerk zu teilen.
Tipp: Die NSA wurde zuvor als Bedrohungsakteur der „Equation Group“ identifiziert, bevor diese und andere Exploits und Aktivitäten mit ihnen in Verbindung gebracht wurden.
Die NSA identifizierte die Schwachstelle im SMB-Protokoll spätestens im Jahr 2011. Im Rahmen seiner Strategie, Schwachstellen für den eigenen Gebrauch zu horten, entschied er sich, diese nicht an Microsoft weiterzugeben, damit das Problem behoben werden kann. Die NSA entwickelte daraufhin einen Exploit für das Problem, den sie EternalBlue nannten. EternalBlue ist in der Lage, die vollständige Kontrolle über einen anfälligen Computer zu gewähren, da es die Ausführung willkürlichen Codes auf Administratorebene ermöglicht, ohne dass eine Benutzerinteraktion erforderlich ist.
Die Schattenmakler
Irgendwann, vor August 2016, wurde die NSA von einer Gruppe gehackt, die sich „The Shadow Brokers“ nannte und vermutlich eine von Russland unterstützte Hackergruppe war. Die Shadow Brokers erhielten Zugang zu einem großen Fundus an Daten und Hacking-Tools. Sie versuchten zunächst, sie zu versteigern und für Geld zu verkaufen, erhielten jedoch wenig Interesse.
Tipp: Eine „staatlich gesponserte Hackergruppe“ ist ein oder mehrere Hacker, die entweder mit ausdrücklicher Zustimmung, Unterstützung und Anweisung einer Regierung oder für offizielle staatliche offensive Cybergruppen tätig sind. Beide Optionen weisen darauf hin, dass die Gruppen sehr gut qualifiziert, zielgerichtet und überlegt in ihren Handlungen sind.
Nachdem die NSA erkannt hatte, dass ihre Tools kompromittiert waren, informierte sie Microsoft über die Details der Sicherheitslücken, damit ein Patch entwickelt werden konnte. Ursprünglich für Februar 2017 geplant, wurde der Patch auf März verschoben, um sicherzustellen, dass die Probleme korrekt behoben wurden. Am 14NS vom März 2017 veröffentlichte Microsoft die Updates, wobei die EternalBlue-Sicherheitslücke von der Sicherheitsbulletin MS17-010, für Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 und Server 2016.
Einen Monat später am 14.NS April veröffentlichten The Shadow Brokers den Exploit zusammen mit Dutzenden anderer Exploits und Details. Obwohl die Patches einen Monat vor der Veröffentlichung der Exploits zur Verfügung standen, installierten viele Systeme die Patches leider nicht und blieben anfällig.
Verwendung des EternalBlue
Knapp einen Monat nach der Veröffentlichung der Exploits, am 12.NS Mai 2017 wurde der Ransomware-Wurm „Wannacry“ mit dem Exploit von EternalBlue gestartet, um sich auf so vielen Systemen wie möglich zu verbreiten. Am nächsten Tag veröffentlichte Microsoft Notfall-Sicherheitspatches für die nicht unterstützten Windows-Versionen: XP, 8 und Server 2003.
Tipp: „Ransomware“ ist eine Klasse von Malware, die infizierte Geräte verschlüsselt und dann den Entschlüsselungsschlüssel als Lösegeld festhält, typischerweise für Bitcoin oder andere Kryptowährungen. Ein „Wurm“ ist eine Klasse von Malware, die sich automatisch auf andere Computer ausbreitet, anstatt dass Computer einzeln infiziert werden müssen.
Entsprechend IBM X-Force der Ransomware-Wurm „Wannacry“ verursachte Schäden in Höhe von über 8 Milliarden US-Dollar in 150 Ländern, obwohl der Exploit nur unter Windows 7 und Server 2008 zuverlässig funktionierte. Im Februar 2018 haben Sicherheitsforscher den Exploit erfolgreich modifiziert, um auf allen Windows-Versionen seit Windows 2000 zuverlässig arbeiten zu können.
Im Mai 2019 wurde die US-Stadt Baltimore von einem Cyberangriff mit dem EternalBlue-Exploit heimgesucht. Eine Reihe von Cybersicherheitsexperten wies darauf hin, dass diese Situation vollständig vermeidbar sei, da Patches seit mehr als einem Jahr verfügbar seien zwei Jahre zu diesem Zeitpunkt, ein Zeitraum, über den mindestens „Critical Security Patches“ mit „Public Exploits“ hätten sein sollen Eingerichtet.