"EternalBlue" è il nome di un exploit trapelato sviluppato dalla NSA per una vulnerabilità in SMBv1 che era presente in tutti i sistemi operativi Windows tra Windows 95 e Windows 10. Server Message Block versione 1, o SMBv1, è un protocollo di comunicazione utilizzato per condividere l'accesso a file, stampanti e porte seriali sulla rete.
Suggerimento: la NSA è stata precedentemente identificata come un attore di minacce "Equation Group" prima che questo e altri exploit e attività fossero collegati a loro.
La NSA ha identificato la vulnerabilità nel protocollo SMB almeno nel 2011. Con la sua strategia di accumulare vulnerabilità per uso personale, ha scelto di non rivelarlo a Microsoft in modo che il problema potesse essere corretto. La NSA ha quindi sviluppato un exploit per il problema che hanno chiamato EternalBlue. EternalBlue è in grado di garantire il controllo completo su un computer vulnerabile in quanto garantisce l'esecuzione di codice arbitrario a livello di amministratore senza richiedere l'interazione dell'utente.
L'Ombra
Ad un certo punto, prima dell'agosto 2016 la NSA è stata hackerata da un gruppo che si fa chiamare "The Shadow Brokers", ritenuto un gruppo di hacker sponsorizzato dallo stato russo. Gli Shadow Brokers hanno ottenuto l'accesso a una grande quantità di dati e strumenti di hacking. Inizialmente hanno provato a metterli all'asta e a venderli per denaro, ma hanno ricevuto scarso interesse.
Suggerimento: un "gruppo di hacker sponsorizzato dallo stato" è uno o più hacker che operano con l'esplicito consenso, supporto e direzione di un governo o per gruppi informatici offensivi ufficiali del governo. Entrambe le opzioni indicano che i gruppi sono molto qualificati, mirati e deliberati nelle loro azioni.
Dopo aver compreso che i loro strumenti erano stati compromessi, la NSA ha informato Microsoft dei dettagli delle vulnerabilità in modo da poter sviluppare una patch. Inizialmente previsto per il rilascio a febbraio 2017, la patch è stata spostata a marzo per garantire che i problemi fossero risolti correttamente. il 14ns di marzo 2017, Microsoft ha pubblicato gli aggiornamenti, con la vulnerabilità EternalBlue dettagliata dal bollettino sulla sicurezza MS17-010, per Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 e Server 2016.
Un mese dopo il 14ns di aprile, The Shadow Brokers ha pubblicato l'exploit, insieme a dozzine di altri exploit e dettagli. Sfortunatamente, nonostante le patch fossero disponibili per un mese prima della pubblicazione degli exploit, molti sistemi non le installavano e rimanevano vulnerabili.
Uso dell'EternalBlue
Poco meno di un mese dopo la pubblicazione degli exploit, il 12ns di maggio 2017 è stato lanciato il worm ransomware “Wannacry” utilizzando l'exploit EternalBlue per diffondersi al maggior numero di sistemi possibile. Il giorno successivo Microsoft ha rilasciato patch di sicurezza di emergenza per le versioni di Windows non supportate: XP, 8 e Server 2003.
Suggerimento: "Ransomware" è una classe di malware che crittografa i dispositivi infetti e quindi trattiene la chiave di decrittazione per ottenere un riscatto, in genere per Bitcoin o altre criptovalute. Un "worm" è una classe di malware che si propaga automaticamente ad altri computer, invece di richiedere che i computer vengano infettati individualmente.
Secondo IBM X-Force il worm ransomware "Wannacry" è stato responsabile di oltre 8 miliardi di dollari di danni in 150 paesi, anche se l'exploit ha funzionato in modo affidabile solo su Windows 7 e Server 2008. Nel febbraio 2018, i ricercatori della sicurezza hanno modificato con successo l'exploit per poter lavorare in modo affidabile su tutte le versioni di Windows da Windows 2000.
Nel maggio 2019 la città statunitense di Baltimora è stata colpita da un attacco informatico utilizzando l'exploit EternalBlue. Un certo numero di esperti di sicurezza informatica ha sottolineato che questa situazione era del tutto prevenibile poiché le patch erano disponibili da più di due anni a quel punto, un periodo di tempo durante il quale, almeno “Critical Security Patches” con “Public Exploits” avrebbero dovuto essere installato.