"EternalBlue" הוא השם לניצול דלוף שפותח על ידי NSA עבור פגיעות ב-SMBv1 שהייתה קיימת בכל מערכות ההפעלה של Windows בין Windows 95 ל-Windows 10. Server Message Block גרסה 1, או SMBv1, הוא פרוטוקול תקשורת המשמש לשיתוף גישה לקבצים, למדפסות ויציאות טוריות דרך הרשת.
טיפ: ה-NSA זוהה בעבר כשחקן איום של "קבוצת משוואות" לפני שמנצלים ופעילות זו ואחרות נקשרו אליהם.
ה-NSA זיהה את הפגיעות בפרוטוקול SMB לפחות כבר ב-2011. במסגרת האסטרטגיה שלה לאגור נקודות תורפה לשימוש עצמי, בחרה שלא לחשוף אותה למיקרוסופט כדי שניתן יהיה לתקן את הבעיה. לאחר מכן, ה-NSA פיתחו ניצול עבור הנושא שהם כינו EternalBlue. EternalBlue מסוגל להעניק שליטה מלאה על מחשב פגיע מכיוון שהוא מעניק ביצוע קוד שרירותי ברמת המנהל מבלי לדרוש אינטראקציה של המשתמש.
The Shadow Brokers
בשלב מסוים, לפני אוגוסט 2016, ה-NSA נפרץ על ידי קבוצה הקוראת לעצמה "The Shadow Brokers", על פי האמונה היא קבוצת פריצה בחסות המדינה הרוסית. The Shadow Brokers קיבלו גישה למגוון גדול של נתונים וכלי פריצה. בתחילה הם ניסו למכור אותם למכירה פומבית ולמכור אותם תמורת כסף, אך קיבלו עניין מועט.
טיפ: "קבוצת פריצה בחסות המדינה" היא האקר אחד או יותר הפועלים בהסכמה מפורשת, תמיכה והכוונה של ממשלה או עבור קבוצות סייבר ממשלתיות רשמיות. כל אחת מהאפשרויות מצביעה על כך שהקבוצות מוכשרות מאוד, ממוקדות ומכוונות בפעולותיהן.
לאחר שהבינו שהכלים שלהם נפגעו, ה-NSA הודיע למיקרוסופט על פרטי הפרצות כדי שניתן יהיה לפתח תיקון. תחילה מתוכנן לצאת בפברואר 2017, התיקון נדחק למרץ כדי להבטיח שהבעיות תוקנו כהלכה. ב-14ה' של מרץ 2017, מיקרוסופט פרסמה את העדכונים, כאשר הפגיעות EternalBlue מפורטת על ידי עלון אבטחה MS17-010, עבור Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 ו- Server 2016.
חודש לאחר מכן ב-14ה' באפריל, The Shadow Brokers פרסמו את הניצול, יחד עם עשרות מעללים ופרטים נוספים. לרוע המזל, למרות שהתיקונים היו זמינים במשך חודש לפני פרסום המנצלים, מערכות רבות לא התקינו את התיקונים ונשארו פגיעות.
שימוש ב-EternalBlue
קצת פחות מחודש לאחר פרסום המעללים, ב-12ה' של מאי 2017 תולעת הכופר "Wannacry" הושקה באמצעות הניצול EternalBlue כדי להפיץ את עצמה לכמה שיותר מערכות. למחרת פרסמה מיקרוסופט תיקוני אבטחה חירום עבור גרסאות Windows שאינן נתמכות: XP, 8 ו- Server 2003.
טיפ: "תוכנות כופר" היא סוג של תוכנות זדוניות שמצפינות מכשירים נגועים ולאחר מכן מחזיקה את מפתח הפענוח לכופר, בדרך כלל עבור ביטקוין או מטבעות קריפטוגרפיים אחרים. "תולעת" היא סוג של תוכנות זדוניות שמפיצה את עצמה אוטומטית למחשבים אחרים, במקום לדרוש ממחשבים להיות נגועים בנפרד.
לפי IBM X-Force תולעת הכופר "Wannacry" הייתה אחראית ליותר מ-8 מיליארד דולר בנזקים ב-150 מדינות למרות שהניצול עבד בצורה מהימנה רק ב-Windows 7 וב-Server 2008. בפברואר 2018, חוקרי אבטחה שינו בהצלחה את הניצול כדי שיוכלו לעבוד בצורה אמינה בכל הגירסאות של Windows מאז Windows 2000.
במאי 2019, עיריית בולטימור בארה"ב נפגעה במתקפת סייבר תוך שימוש בניצול ה-EternalBlue. מספר מומחי אבטחת סייבר ציינו כי מצב זה ניתן למניעה לחלוטין מכיוון שהתיקונים היו זמינים במשך יותר מ שנתיים באותה נקודה, פרק זמן שלפחות "תיקוני אבטחה קריטיים" עם "ניצול ציבורי" היו צריכים להיות מוּתקָן.