„EternalBlue” este numele unui exploit dezvoltat de NSA pentru o vulnerabilitate în SMBv1 care a fost prezent în toate sistemele de operare Windows între Windows 95 și Windows 10. Server Message Block versiunea 1, sau SMBv1, este un protocol de comunicare care este utilizat pentru a partaja accesul la fișiere, imprimante și porturi seriale în rețea.
Sfat: NSA a fost identificat anterior ca un actor de amenințare „Equation Group” înainte ca aceasta și alte exploatări și activități să fie legate de acestea.
NSA a identificat vulnerabilitatea în protocolul SMB cel puțin încă din 2011. În cadrul strategiei sale de stocare a vulnerabilităților pentru uz propriu, a ales să nu le dezvăluie Microsoft, astfel încât problema să poată fi remediată. NSA a dezvoltat apoi un exploit pentru problema pe care a numit-o EternalBlue. EternalBlue este capabil să acorde control complet asupra unui computer vulnerabil, deoarece oferă execuție de cod arbitrar la nivel de administrator fără a necesita interacțiunea utilizatorului.
Brokerii din umbră
La un moment dat, înainte de august 2016, NSA a fost piratată de un grup care se autointitula „The Shadow Brokers”, despre care se crede că este un grup de hacking sponsorizat de stat rus. Shadow Brokers au obținut acces la o mulțime de instrumente de hacking și de date. Au încercat inițial să le scoată la licitație și să le vândă pentru bani, dar au primit puțin interes.
Sfat: un „grup de hacking sponsorizat de stat” este unul sau mai mulți hackeri care operează fie cu consimțământul, sprijinul și direcția explicit ale guvernului, fie pentru grupuri cibernetice oficiale ofensive guvernamentale. Oricare dintre opțiuni indică faptul că grupurile sunt foarte bine calificate, țintite și deliberate în acțiunile lor.
După ce a înțeles că instrumentele lor au fost compromise, NSA a informat Microsoft despre detaliile vulnerabilităților, astfel încât să poată fi dezvoltat un patch. Inițial programată pentru lansare în februarie 2017, patch-ul a fost împins în martie pentru a se asigura că problemele au fost corectate. Pe 14th din martie 2017, Microsoft a publicat actualizările, vulnerabilitatea EternalBlue fiind detaliată de către buletinul de securitate MS17-010, pentru Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 și Server 2016.
O lună mai târziu, pe 14th din aprilie, The Shadow Brokers a publicat exploit-ul, împreună cu zeci de alte exploit-uri și detalii. Din păcate, în ciuda faptului că patch-urile au fost disponibile cu o lună înainte de publicarea exploit-urilor, multe sisteme nu au instalat patch-urile și au rămas vulnerabile.
Utilizarea EternalBlue
La puțin mai puțin de o lună după ce exploit-urile au fost publicate, pe 12th din mai 2017, viermele ransomware „Wannacry” a fost lansat folosind exploit-ul EternalBlue pentru a se răspândi pe cât mai multe sisteme posibil. A doua zi, Microsoft a lansat corecții de securitate de urgență pentru versiunile Windows neacceptate: XP, 8 și Server 2003.
Sfat: „Ransomware” este o clasă de malware care criptează dispozitivele infectate și apoi deține cheia de decriptare pentru răscumpărare, de obicei pentru Bitcoin sau alte criptomonede. Un „vierme” este o clasă de programe malware care se propagă automat către alte computere, mai degrabă decât să solicite ca computerele să fie infectate individual.
Conform IBM X-Force viermele ransomware „Wannacry” a fost responsabil pentru daune de peste 8 miliarde USD în 150 de țări, chiar dacă exploit-ul a funcționat în mod fiabil doar pe Windows 7 și Server 2008. În februarie 2018, cercetătorii de securitate au modificat cu succes exploit-ul pentru a putea funcționa în mod fiabil pe toate versiunile de Windows începând cu Windows 2000.
În mai 2019, orașul american Baltimore a fost lovit de un atac cibernetic folosind exploit-ul EternalBlue. O serie de experți în securitate cibernetică au subliniat că această situație era complet prevenibilă, deoarece patch-urile erau disponibile de mai mult de doi ani la acel moment, o perioadă de timp în care ar fi trebuit să fie cel puțin „Critical Security Patchs” cu „Public Exploits” instalat.