"EternalBlue" adalah nama untuk eksploitasi yang dikembangkan NSA yang bocor untuk kerentanan di SMBv1 yang ada di semua sistem operasi Windows antara Windows 95 dan Windows 10. Server Message Block versi 1, atau SMBv1, adalah protokol komunikasi yang digunakan untuk berbagi akses ke file, printer, dan port serial melalui jaringan.
Kiat: NSA sebelumnya diidentifikasi sebagai aktor ancaman "Grup Persamaan" sebelum ini dan eksploitasi serta aktivitas lainnya terkait dengannya.
NSA mengidentifikasi kerentanan dalam protokol SMB setidaknya pada awal 2011. Di bawah strategi menimbun kerentanan untuk digunakan sendiri, memilih untuk tidak mengungkapkannya ke Microsoft sehingga masalah dapat ditambal. NSA kemudian mengembangkan eksploitasi untuk masalah yang mereka sebut EternalBlue. EternalBlue mampu memberikan kontrol penuh atas komputer yang rentan karena memberikan eksekusi kode arbitrer tingkat administrator tanpa memerlukan interaksi pengguna.
Pialang Bayangan
Pada titik tertentu, sebelum Agustus 2016, NSA diretas oleh kelompok yang menyebut diri mereka “The Shadow Brokers”, yang diyakini sebagai kelompok peretasan yang disponsori negara Rusia. Shadow Brokers memperoleh akses ke sejumlah besar data dan alat peretasan. Mereka awalnya mencoba melelangnya dan menjualnya untuk mendapatkan uang tetapi hanya menerima sedikit minat.
Kiat: “Grup peretasan yang disponsori negara” adalah satu atau beberapa peretas yang beroperasi baik dengan persetujuan, dukungan, dan arahan eksplisit pemerintah atau untuk grup siber ofensif resmi pemerintah. Pilihan mana pun menunjukkan bahwa kelompok-kelompok tersebut sangat berkualitas, tepat sasaran, dan berhati-hati dalam tindakan mereka.
Setelah memahami bahwa alat mereka telah disusupi, NSA memberi tahu Microsoft tentang detail kerentanan sehingga tambalan dapat dikembangkan. Awalnya dijadwalkan untuk rilis pada Februari 2017, tambalan didorong ke Maret untuk memastikan masalah diperbaiki dengan benar. Pada tanggal 14th Maret 2017, Microsoft menerbitkan pembaruan, dengan kerentanan EternalBlue yang dirinci oleh buletin keamanan MS17-010, untuk Windows Vista, 7, 8.1, 10, Server 2008, Server 2012, dan Server 2016.
Sebulan kemudian pada tanggal 14th April, The Shadow Brokers menerbitkan eksploit, bersama dengan lusinan eksploit dan detail lainnya. Sayangnya, meskipun tambalan tersedia selama sebulan sebelum eksploitasi dipublikasikan, banyak sistem tidak menginstal tambalan dan tetap rentan.
Penggunaan EternalBlue
Hanya kurang dari sebulan setelah eksploitasi diterbitkan, pada 12th Mei 2017 worm ransomware “Wannacry” diluncurkan menggunakan eksploitasi EternalBlue untuk menyebarkan dirinya ke sebanyak mungkin sistem. Hari berikutnya Microsoft merilis patch keamanan darurat untuk versi Windows yang tidak didukung: XP, 8, dan Server 2003.
Tip: “Ransomware” adalah kelas malware yang mengenkripsi perangkat yang terinfeksi dan kemudian menyimpan kunci dekripsi untuk tebusan, biasanya untuk Bitcoin atau mata uang kripto lainnya. "Worm" adalah kelas malware yang secara otomatis menyebarkan dirinya ke komputer lain, daripada mengharuskan komputer untuk terinfeksi secara individual.
Berdasarkan IBM X-Force worm ransomware “Wannacry” bertanggung jawab atas kerusakan lebih dari US$8 Miliar di 150 negara meskipun eksploitasi tersebut hanya bekerja dengan andal pada Windows 7 dan Server 2008. Pada Februari 2018, peneliti keamanan berhasil memodifikasi exploit agar dapat bekerja dengan andal di semua versi Windows sejak Windows 2000.
Pada Mei 2019, Kota Baltimore AS diserang dengan serangan siber yang memanfaatkan eksploitasi EternalBlue. Sejumlah pakar keamanan siber menunjukkan bahwa situasi ini sepenuhnya dapat dicegah karena tambalan telah tersedia selama lebih dari dua tahun pada saat itu, periode waktu di mana, setidaknya "Tambalan Keamanan Kritis" dengan "Eksploitasi Publik" seharusnya diinstal.