EternalBlue nedir?

“EternalBlue”, Windows 95 ve Windows 10 arasındaki tüm Windows işletim sistemlerinde bulunan SMBv1'deki bir güvenlik açığı için NSA tarafından geliştirilen, sızdırılmış bir istismarın adıdır. Sunucu İleti Bloğu sürüm 1 veya SMBv1, ağ üzerinden dosyalara, yazıcılara ve seri bağlantı noktalarına erişimi paylaşmak için kullanılan bir iletişim protokolüdür.

İpucu: NSA daha önce bu ve diğer açıklardan yararlanmalar ve faaliyetler bunlara bağlı olmadan önce bir "Denklem Grubu" tehdit aktörü olarak tanımlanıyordu.

NSA, SMB protokolündeki güvenlik açığını en azından 2011 gibi erken bir tarihte tespit etti. Güvenlik açıklarını kendi kullanımı için stoklama stratejisi uyarınca, sorunun yamalanabilmesi için bunu Microsoft'a açıklamamayı tercih etti. NSA daha sonra EternalBlue adını verdikleri sorun için bir istismar geliştirdi. EternalBlue, kullanıcı etkileşimi gerektirmeden yönetici düzeyinde rastgele kod yürütülmesine izin verdiği için, güvenlik açığı bulunan bir bilgisayar üzerinde tam kontrol sağlama yeteneğine sahiptir.

Gölge Komisyoncuları

Bir noktada, Ağustos 2016'dan önce NSA, kendilerini Rus devlet destekli bir hack grubu olduğuna inanılan “The Shadow Brokers” olarak adlandıran bir grup tarafından hacklendi. Shadow Brokers, büyük bir veri hazinesine ve bilgisayar korsanlığı araçlarına erişim kazandı. Başlangıçta onları açık artırmayla satmayı ve para karşılığında satmayı denediler, ancak çok az ilgi gördüler.

İpucu: "Devlet destekli bilgisayar korsanlığı grubu", ya bir hükümetin açık izni, desteği ve yönlendirmesi ile ya da resmi hükümet saldırgan siber grupları için faaliyet gösteren bir veya daha fazla bilgisayar korsanıdır. Her iki seçenek de grupların çok iyi nitelikli, hedefli ve eylemlerinde kasıtlı olduğunu gösterir.

NSA, araçlarının güvenliğinin ihlal edildiğini anladıktan sonra, bir yama geliştirilebilmesi için Microsoft'a güvenlik açıklarının ayrıntıları hakkında bilgi verdi. İlk olarak Şubat 2017'de piyasaya sürülmesi planlanan yama, sorunların doğru bir şekilde düzeltilmesini sağlamak için Mart ayına ertelendi. 14'teNS Mart 2017'de Microsoft, güncellemeleri yayınladı ve EternalBlue güvenlik açığı aşağıdakiler tarafından detaylandırıldı: güvenlik bülteni MS17-010, Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 ve Server 2016 için.

Bir ay sonra 14NS Nisan ayında The Shadow Brokers, düzinelerce başka istismar ve ayrıntıyla birlikte istismarı yayınladı. Ne yazık ki, açıklardan yararlanmalar yayınlanmadan bir ay önce yamalar mevcut olmasına rağmen, birçok sistem yamaları yüklemedi ve savunmasız kaldı.

EternalBlue'nun Kullanımı

Açıkların yayınlanmasından bir aydan kısa bir süre sonra, 12'deNS Mayıs 2017'de “Wannacry” fidye yazılımı solucanı, kendisini mümkün olduğu kadar çok sisteme yaymak için EternalBlue istismarı kullanılarak başlatıldı. Ertesi gün Microsoft, desteklenmeyen Windows sürümleri için acil durum güvenlik düzeltme ekleri yayınladı: XP, 8 ve Server 2003.

İpucu: "Fidye yazılımı", virüslü cihazları şifreleyen ve ardından genellikle Bitcoin veya diğer kripto para birimleri için fidye için şifre çözme anahtarını tutan bir kötü amaçlı yazılım sınıfıdır. "Solucan", bilgisayarların tek tek bulaşmasını gerektirmek yerine, kendisini otomatik olarak diğer bilgisayarlara yayan bir kötü amaçlı yazılım sınıfıdır.

Buna göre IBM X-Force "Wannacry" fidye yazılımı solucanı, yalnızca Windows 7 ve Server 2008'de güvenilir bir şekilde çalışmasına rağmen 150 ülkede 8 Milyar ABD Dolarından fazla zarardan sorumluydu. Şubat 2018'de güvenlik araştırmacıları, Windows 2000'den bu yana tüm Windows sürümlerinde güvenilir bir şekilde çalışabilmek için istismarı başarıyla değiştirdi.

Mayıs 2019'da ABD Baltimore Şehri, EternalBlue açığını kullanan bir siber saldırıya uğradı. Bir dizi siber güvenlik uzmanı, yamalar birden fazla süredir mevcut olduğundan bu durumun tamamen önlenebilir olduğuna dikkat çekti. bu noktada iki yıl, en azından “Kamu Yararına Sahip” “Kritik Güvenlik Yamalarının” olması gereken bir süre Kurulmuş.