„ЕтерналБлуе“ је назив за експлоатацију коју је развио НСА за рањивост у СМБв1 која је била присутна у свим Виндовс оперативним системима између Виндовс 95 и Виндовс 10. Сервер Мессаге Блоцк верзија 1, или СМБв1, је комуникациони протокол који се користи за дељење приступа датотекама, штампачима и серијским портовима преко мреже.
Савет: НСА је раније идентификована као актер претње „Екуатион Гроуп” пре него што су ова и друга експлоатација и активност били везани за њих.
НСА је идентификовала рањивост у СМБ протоколу барем још 2011. У оквиру своје стратегије гомилања рањивости за сопствену употребу, одлучио је да то не открије Мицрософт-у како би се проблем могао закрпити. НСА је затим развила експлоатацију за проблем који су назвали ЕтерналБлуе. ЕтерналБлуе је способан да додели потпуну контролу над рањивим рачунаром јер дозвољава извршавање произвољног кода на нивоу администратора без потребе за интеракцијом корисника.
Тхе Схадов Брокерс
У неком тренутку, пре августа 2016, НСА је хаковала група која себе назива „Брокери из сенке“, за коју се верује да је руска хакерска група коју спонзорише држава. Схадов Брокерс су добили приступ великом броју података и алата за хаковање. У почетку су покушали да их продају на аукцији и продају за новац, али су добили мало интереса.
Савет: „Хакерска група коју спонзорише држава“ је један или више хакера који раде или уз изричит пристанак, подршку и упутства владе или за званичне владине офанзивне сајбер групе. Било која опција указује на то да су групе веома добро квалификоване, циљане и промишљене у својим акцијама.
Након што је схватио да су њихови алати компромитовани, НСА је обавестила Мицрософт о детаљима рањивости како би се могла развити закрпа. Првобитно заказано за издавање у фебруару 2017. године, закрпа је померена за март како би се осигурало да су проблеми исправно решени. Дана 14тх марта 2017, Мицрософт је објавио исправке, при чему је рањивост ЕтерналБлуе детаљно описана од стране безбедносни билтен МС17-010, за Виндовс Виста, 7, 8.1, 10, Сервер 2008, Сервер 2012 и Сервер 2016.
Месец дана касније, 14тх априла, Тхе Схадов Брокерс објавили су експлоатацију, заједно са десетинама других експлоата и детаља. Нажалост, упркос томе што су закрпе биле доступне месец дана пре објављивања експлоата, многи системи нису инсталирали закрпе и остали су рањиви.
Употреба ЕтерналБлуе
Нешто мање од месец дана након објављивања подвига, 12тх маја 2017. покренут је црв „Ваннацри“ рансомваре користећи експлоатацију ЕтерналБлуе како би се проширио на што више система. Следећег дана Мицрософт је објавио хитне безбедносне закрпе за неподржане верзије оперативног система Виндовс: КСП, 8 и Сервер 2003.
Савет: „Рансомваре“ је класа злонамерног софтвера који шифрује заражене уређаје, а затим држи кључ за дешифровање за откуп, обично за Битцоин или друге криптовалуте. „Црв“ је класа злонамерног софтвера који се аутоматски шири на друге рачунаре, уместо да захтева да се рачунари појединачно инфицирају.
Према ИБМ Кс-Форце „Ваннацри“ рансомваре црв је одговоран за више од 8 милијарди долара штете у 150 земаља, иако је експлоатација поуздано функционисала само на Виндовс 7 и Сервер 2008. У фебруару 2018. истраживачи безбедности су успешно модификовали експлоатацију да би могли поуздано да раде на свим верзијама Виндовс-а од Виндовс-а 2000.
У мају 2019. амерички град Балтимор је погођен сајбер нападом који је користио ЕтерналБлуе експлоатацију. Бројни стручњаци за сајбер безбедност истакли су да се ова ситуација може у потпуности спречити јер су закрпе биле доступне више од две године у том тренутку, временски период током којег је требало да буде најмање „критичне безбедносне закрпе“ са „јавним експлоатацијама“ инсталиран.