EternalBlue

EternalBlue (або ETERNALBLUE[1], CVE-2017-0144) — назва експлойту, що використовує уразливість Windows-реалізації протоколу SMB. Недоліки реалізації пов'язані з вимогами Агентства національної безпеки США щодо покращення можливостей збору розвідувальної інформації у разі здійснення високотаргетованих атак.[2] Відомості щодо уразливості опубліковано хакерською групою The Shadow Brokers 14 квітня 2017 року. Використовувалася у поширенні вірусу-шифрувальника WannaCry у травні 2017 року.[3][4][5]

Опис вразливості

Реалізація протоколу Server Message Block v1 (SMB) у ОС Windows містить недоліки, що надають можливість зловмиснику передати на віддалений вузол спеціально сформований пакет та отримати доступ до системи і виконати на ній довільний код.[6]

Компанія Microsoft підтвердила, що вразливість присутня у всіх системах Windows починаючи з Windows XP та закінчуючи Windows Server 2016. Тобто існувала близько 16 років. Закрита у серії оновлень безпеки MS17-010.[7]

Перше публічне використання експлойта EternalBlue зареєстроване 21 квітня 2017 року, коли програма-бекдор DoublePulsar, заснована на коді АНБ[джерело?], заразила близько 200 тис. комп'ютерів протягом кількох днів. 12 травня 2017 року з'явився шифрувальник WannaCry, що використовував експлойт EternalBlue та код DoublePulsar, який швидко заразив десятки тис. комп'ютерів у мережі. Microsoft через масштаб атаки випустила оновлення безпеки для ОС Windows XP, Windows 8 і Windows Server 2003, що вже офіційно не підтримуються.[8]

Атака на критичну інфраструктуру України

Докладніше: Хакерські атаки на Україну (2017)

Вірус-шифрувальник родини Win32/Petya використовує вразливість EternalBlue та спричинив зараження 27 червня 2017 року великої кількості комп'ютерів, особливо серед банківських, державних установ, енергетичних компаній України.[9][10] Оновлення баз антивірусу Windows Defender розв'язує проблему.[11] Для доставки вірусу використовувався скомпрометований сервіс оновлення програми для формування звітності до ДФС M.E.Doc.[12]

Див. також

Посилання

Примітки

  1. NSA-leaking Shadow Brokers just dumped its most damaging release yet. Ars Technica (амер.). Архів оригіналу за 13 травня 2017. Процитовано 27 червня 2017.
  2. 'NSA malware' released by Shadow Brokers hacker group. BBC News (брит.). 10 квітня 2017. Архів оригіналу за 23 травня 2017. Процитовано 27 червня 2017.
  3. Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak. Forbes. Архів оригіналу за 28 червня 2018. Процитовано 27 червня 2017.
  4. An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica (амер.). Архів оригіналу за 12 травня 2017. Процитовано 27 червня 2017.
  5. Ghosh, Agamoni (9 квітня 2017). 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools. International Business Times UK (англ.). Архів оригіналу за 14 травня 2017. Процитовано 27 червня 2017.
  6. Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN. support.eset.com (амер.). Архів оригіналу за 16 травня 2017. Процитовано 27 червня 2017.
  7. Microsoft Security Bulletin MS17-010 - Critical. technet.microsoft.com (англ.). Архів оригіналу за 21 травня 2017. Процитовано 27 червня 2017.
  8. Warren, Tom (13 травня 2017). Microsoft issues ‘highly unusual’ Windows XP patch to prevent massive ransomware attack. The Verge. Архів оригіналу за 14 травня 2017. Процитовано 27 червня 2017.
  9. Масштабна хакерська атака в Україні: хто потрапив "під удар" (список) (укр.). Архів оригіналу за 5 липня 2017. Процитовано 27 червня 2017.
  10. Вірус-вимагач модифікований під Україну. В МВС розповіли подробиці найбільшої кібератаки. espreso.tv. Архів оригіналу за 27 червня 2017. Процитовано 27 червня 2017.
  11. Ransom:Win32/Petya.A. www.microsoft.com (амер.). Архів оригіналу за 29 червня 2017. Процитовано 27 червня 2017.
  12. Департамент кіберполіції Національної поліції України. www.facebook.com (укр.). Архів оригіналу за 27 червня 2017. Процитовано 27 червня 2017.