“EternalBlue” เป็นชื่อของ NSA ที่รั่วไหลซึ่งพัฒนาช่องโหว่สำหรับช่องโหว่ใน SMBv1 ที่มีอยู่ในระบบปฏิบัติการ Windows ทั้งหมดระหว่าง Windows 95 และ Windows 10 Server Message Block เวอร์ชัน 1 หรือ SMBv1 เป็นโปรโตคอลการสื่อสารที่ใช้ในการแชร์การเข้าถึงไฟล์ เครื่องพิมพ์ และพอร์ตอนุกรมผ่านเครือข่าย
เคล็ดลับ: ก่อนหน้านี้ NSA ถูกระบุว่าเป็นผู้คุกคาม "กลุ่มสมการ" ก่อนสิ่งนี้และการหาประโยชน์และกิจกรรมอื่นๆ เชื่อมโยงกับพวกเขา
NSA ระบุช่องโหว่ในโปรโตคอล SMB อย่างน้อยตั้งแต่ต้นปี 2011 ภายใต้กลยุทธ์ในการกักตุนช่องโหว่สำหรับการใช้งานของตัวเอง เลือกที่จะไม่เปิดเผยต่อ Microsoft เพื่อให้สามารถแก้ไขปัญหาได้ จากนั้น NSA ได้พัฒนาช่องโหว่สำหรับปัญหาที่เรียกว่า EternalBlue EternalBlue ให้สิทธิ์ในการควบคุมคอมพิวเตอร์ที่มีช่องโหว่ได้อย่างสมบูรณ์ เนื่องจากอนุญาตให้ใช้รหัสตามอำเภอใจระดับผู้ดูแลระบบโดยไม่ต้องมีการโต้ตอบกับผู้ใช้
The Shadow Brokers
เมื่อถึงจุดหนึ่ง ก่อนเดือนสิงหาคม 2016 NSA ถูกแฮ็กโดยกลุ่มที่เรียกตัวเองว่า "The Shadow Brokers" ซึ่งเชื่อว่าเป็นกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐรัสเซีย Shadow Brokers เข้าถึงข้อมูลและเครื่องมือแฮ็คจำนวนมาก ตอนแรกพวกเขาพยายามประมูลและขายเพื่อเงิน แต่ได้รับความสนใจเพียงเล็กน้อย
เคล็ดลับ: “กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ” คือแฮ็กเกอร์ตั้งแต่หนึ่งรายขึ้นไปที่ปฏิบัติการโดยได้รับความยินยอม การสนับสนุน และทิศทางอย่างชัดแจ้งจากรัฐบาล หรือสำหรับกลุ่มไซเบอร์ที่น่ารังเกียจของรัฐบาล ตัวเลือกใดตัวเลือกหนึ่งระบุว่ากลุ่มมีคุณสมบัติครบถ้วน ตรงเป้าหมาย และตั้งใจในการดำเนินการ
หลังจากที่เข้าใจว่าเครื่องมือของพวกเขาถูกบุกรุก NSA ได้แจ้งให้ Microsoft ทราบถึงรายละเอียดของช่องโหว่ดังกล่าว เพื่อให้สามารถพัฒนาโปรแกรมแก้ไขได้ เริ่มแรกกำหนดวางจำหน่ายในเดือนกุมภาพันธ์ 2560 แพตช์ถูกเลื่อนไปในเดือนมีนาคมเพื่อให้แน่ใจว่าปัญหาได้รับการแก้ไขอย่างถูกต้อง ในวันที่ 14NS ในเดือนมีนาคม 2017 Microsoft ได้เผยแพร่การอัปเดตโดยมีช่องโหว่ EternalBlue ให้รายละเอียดโดย กระดานข่าวความปลอดภัย MS17-010, สำหรับ Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 และ Server 2016
หนึ่งเดือนต่อมาในวันที่14NS ในเดือนเมษายน The Shadow Brokers ได้เผยแพร่การเอารัดเอาเปรียบนี้ พร้อมกับการหาประโยชน์และรายละเอียดอื่นๆ อีกนับสิบ น่าเสียดายที่แม้ว่าแพตช์จะพร้อมใช้งานเป็นเวลาหนึ่งเดือนก่อนที่จะเผยแพร่ช่องโหว่ แต่ระบบจำนวนมากไม่ได้ติดตั้งแพตช์ดังกล่าวและยังคงมีช่องโหว่อยู่
การใช้ EternalBlue
ไม่ถึงหนึ่งเดือนหลังจากเผยแพร่การหาประโยชน์ในวันที่ 12NS ในเดือนพฤษภาคม 2017 เวิร์มแรนซัมแวร์ “Wannacry” ได้เปิดตัวโดยใช้ช่องโหว่ EternalBlue เพื่อแพร่กระจายตัวเองไปยังระบบต่างๆ ให้ได้มากที่สุด วันรุ่งขึ้น Microsoft ออกแพตช์ความปลอดภัยฉุกเฉินสำหรับ Windows เวอร์ชันที่ไม่รองรับ: XP, 8 และ Server 2003
เคล็ดลับ: “แรนซัมแวร์” เป็นมัลแวร์ประเภทหนึ่งที่เข้ารหัสอุปกรณ์ที่ติดไวรัส แล้วเก็บคีย์ถอดรหัสเพื่อเรียกค่าไถ่ โดยทั่วไปสำหรับ Bitcoin หรือสกุลเงินดิจิตอลอื่นๆ “เวิร์ม” คือกลุ่มของมัลแวร์ที่แพร่กระจายตัวเองไปยังคอมพิวเตอร์เครื่องอื่นโดยอัตโนมัติ แทนที่จะกำหนดให้คอมพิวเตอร์ติดไวรัสทีละเครื่อง
ตาม IBM X-Force เวิร์มแรนซัมแวร์ “Wannacry” ก่อให้เกิดความเสียหายมากกว่า 8 พันล้านดอลลาร์สหรัฐใน 150 ประเทศ แม้ว่าช่องโหว่ดังกล่าวจะทำงานได้อย่างน่าเชื่อถือบน Windows 7 และ Server 2008 เท่านั้น ในเดือนกุมภาพันธ์ 2018 นักวิจัยด้านความปลอดภัยได้แก้ไขช่องโหว่ดังกล่าวเพื่อให้ทำงานได้อย่างน่าเชื่อถือบน Windows ทุกรุ่นตั้งแต่ Windows 2000
ในเดือนพฤษภาคม 2019 เมืองบัลติมอร์ของสหรัฐฯ ถูกโจมตีด้วยการโจมตีทางอินเทอร์เน็ตโดยใช้ช่องโหว่ EternalBlue ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จำนวนหนึ่งชี้ให้เห็นว่าสถานการณ์นี้สามารถป้องกันได้ทั้งหมดเนื่องจากมีแพตช์ให้บริการมานานกว่า สองปี ณ จุดนั้น ซึ่งเป็นช่วงเวลาที่อย่างน้อย “Critical Security Patches” กับ “Public Exploits” ควรจะเป็น ติดตั้ง