„EternalBlue“ yra nutekėjusio NSA, sukurto SMBv1 pažeidžiamumo išnaudojimui, kuris buvo visose „Windows“ operacinėse sistemose nuo „Windows 95“ iki „Windows 10“, pavadinimas. Serverio pranešimų bloko 1 versija arba SMBv1 yra ryšio protokolas, naudojamas bendrinti prieigą prie failų, spausdintuvų ir nuosekliųjų prievadų tinkle.
Patarimas: NSA anksčiau buvo nustatyta kaip „Equation Group“ grėsmės veikėja, kol šis ir kiti išnaudojimai bei veikla nebuvo su jais susieti.
NSA SMB protokolo pažeidžiamumą nustatė dar 2011 m. Vykdydamas pažeidžiamumų kaupimo savo reikmėms strategiją, nusprendė jos neatskleisti „Microsoft“, kad būtų galima ištaisyti problemą. Tada NSA sukūrė šios problemos išnaudojimą, kurį pavadino „EternalBlue“. „EternalBlue“ gali suteikti visišką pažeidžiamo kompiuterio kontrolę, nes suteikia administratoriaus lygio savavališko kodo vykdymą nereikalaujant vartotojo sąveikos.
Šešėlių brokeriai
Kažkuriuo metu, iki 2016 m. rugpjūčio mėn., NSA įsilaužė grupė, pasivadinusi „Šešėlių brokeriais“, kuri, kaip manoma, yra Rusijos valstybės remiama programišių grupė. „Shadow Brokers“ gavo prieigą prie daugybės duomenų ir įsilaužimo įrankių. Iš pradžių jie bandė juos parduoti aukcione ir parduoti už pinigus, bet sulaukė mažai palūkanų.
Patarimas: „valstybės remiama įsilaužimo grupė“ yra vienas ar daugiau įsilaužėlių, veikiančių gavus aiškų vyriausybės sutikimą, paramą ir nurodymus arba oficialioms vyriausybės puolančioms kibernetinėms grupėms. Bet kuris variantas rodo, kad grupės yra labai gerai kvalifikuotos, tikslingos ir apgalvotos.
Supratusi, kad jų įrankiai buvo pažeisti, NSA informavo „Microsoft“ apie pažeidžiamumą, kad būtų galima sukurti pataisą. Iš pradžių planuota išleisti 2017 m. vasario mėn., pleistras buvo perkeltas į kovo mėnesį, siekiant užtikrinti, kad problemos būtų tinkamai ištaisytos. 14 dth 2017 m. kovo mėn. „Microsoft“ paskelbė naujinimus, o „EternalBlue“ pažeidžiamumą detalizavo saugos biuletenis MS17-010, „Windows Vista“, 7, 8.1, 10, „Server 2008“, „Server 2012“ ir „Server 2016“.
Po mėnesio, 14 dth balandžio mėn. „The Shadow Brokers“ paskelbė išnaudojimą kartu su daugybe kitų išnaudojimų ir detalių. Deja, nepaisant to, kad pataisos buvo prieinamos mėnesį iki išnaudojimo paskelbimo, daugelis sistemų neįdiegė pataisų ir liko pažeidžiamos.
EternalBlue naudojimas
Praėjus vos mėnesiui po išnaudojimo paskelbimo, 12 dth 2017 m. gegužės mėn. buvo paleistas „Wannacry“ išpirkos reikalaujantis kirminas, naudojant „EternalBlue“ išnaudojimą, siekiant išplisti į kuo daugiau sistemų. Kitą dieną „Microsoft“ išleido nepalaikomų „Windows“ versijų: XP, 8 ir „Server 2003“ avarinės saugos pataisas.
Patarimas: „Ransomware“ yra kenkėjiškų programų klasė, kuri užšifruoja užkrėstus įrenginius ir laiko iššifravimo raktą, kad gautų išpirką, paprastai Bitcoin ar kitoms kriptovaliutoms. „Kirminas“ yra kenkėjiškų programų klasė, kuri automatiškai plinta į kitus kompiuterius, o ne reikalauja, kad kompiuteriai būtų užkrėsti atskirai.
Pagal IBM X-Force „Wannacry“ išpirkos reikalaujantis kirminas buvo atsakingas už daugiau nei 8 milijardus JAV dolerių žalą 150 šalių, nors išnaudojimas patikimai veikė tik „Windows 7“ ir „Server 2008“. 2018 m. vasario mėn. saugos tyrinėtojai sėkmingai pakeitė išnaudojimą, kad būtų galima patikimai veikti visose „Windows“ versijose nuo „Windows 2000“.
2019 m. gegužę JAV Baltimorės miestas buvo ištiktas kibernetinės atakos, naudojant „EternalBlue“ išnaudojimą. Kai kurie kibernetinio saugumo ekspertai pažymėjo, kad šios situacijos buvo visiškai išvengta, nes pataisos buvo prieinamos daugiau nei tuo metu dveji metai, laikotarpis, per kurį turėjo būti bent „kritinės saugos pataisos“ su „viešais išnaudojimais“. įdiegta.