Co je EternalBlue?

„EternalBlue“ je název pro uniklý exploit vyvinutý NSA pro zranitelnost v SMBv1, která byla přítomna ve všech operačních systémech Windows mezi Windows 95 a Windows 10. Server Message Block verze 1 nebo SMBv1 je komunikační protokol, který se používá ke sdílení přístupu k souborům, tiskárnám a sériovým portům přes síť.

Tip: NSA byla dříve identifikována jako aktér hrozby „Equation Group“ předtím, než s ní byl spojen tento a další exploity a aktivity.

NSA identifikovala zranitelnost v protokolu SMB přinejmenším již v roce 2011. V rámci své strategie hromadění zranitelností pro vlastní použití se rozhodla, že ji Microsoftu nezveřejní, aby mohl být problém opraven. NSA poté vyvinula exploit pro problém, který nazvali EternalBlue. EternalBlue je schopen poskytnout úplnou kontrolu nad zranitelným počítačem, protože umožňuje spuštění libovolného kódu na úrovni správce bez nutnosti interakce uživatele.

The Shadow Brokers

V určitém okamžiku, před srpnem 2016, byla NSA napadena skupinou, která si říkala „The Shadow Brokers“, o níž se věřilo, že jde o hackerskou skupinu podporovanou ruským státem. Shadow Brokers získali přístup k velkému množství dat a hackerských nástrojů. Zpočátku se je pokusili vydražit a prodat za peníze, ale zaznamenali malý zájem.

Tip: „Státem sponzorovaná hackerská skupina“ je jeden nebo více hackerů, kteří působí buď s výslovným souhlasem, podporou a vedením vlády, nebo pro oficiální vládní útočné kybernetické skupiny. Každá z možností naznačuje, že skupiny jsou velmi dobře kvalifikované, cílené a rozvážné ve svých akcích. 

Poté, co NSA zjistila, že jejich nástroje byly kompromitovány, informovala Microsoft o podrobnostech zranitelnosti, aby mohla být vyvinuta oprava. Oprava, původně plánovaná na vydání v únoru 2017, byla posunuta na březen, aby se zajistilo správné vyřešení problémů. Dne 14. března 2017 společnost Microsoft zveřejnila aktualizace, přičemž zranitelnost EternalBlue je podrobně popsána v bulletinu zabezpečení MS17-010 pro Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 a Server 2016.

O měsíc později, 14. dubna, The Shadow Brokers zveřejnili exploit spolu s desítkami dalších exploitů a podrobností. Bohužel, přestože záplaty byly k dispozici měsíc před zveřejněním exploitů, mnoho systémů záplaty nenainstalovalo a zůstaly zranitelné.

Použití EternalBlue

Necelý měsíc po zveřejnění exploitů byl 12. května 2017 spuštěn ransomwarový červ „Wannacry“ využívající exploit EternalBlue, aby se rozšířil na co nejvíce systémů. Následující den společnost Microsoft vydala nouzové opravy zabezpečení pro nepodporované verze systému Windows: XP, 8 a Server 2003.

Tip: „Ransomware“ je třída malwaru, která zašifruje infikovaná zařízení a poté uchová dešifrovací klíč k výkupnému, obvykle pro bitcoiny nebo jiné kryptoměny. „Červ“ je třída malwaru, který se automaticky šíří do dalších počítačů a nevyžaduje, aby byly počítače jednotlivě infikovány.

Podle IBM X-Force byl ransomwarový červ „Wannacry“ zodpovědný za více než 8 miliard USD ve 150 zemích, i když tento exploit spolehlivě fungoval pouze na Windows 7 a Server 2008. V únoru 2018 bezpečnostní výzkumníci úspěšně upravili exploit na být schopen spolehlivě pracovat na všech verzích Windows od Windows 2000.

V květnu 2019 bylo americké město Baltimore zasaženo kyberútokem využívajícím exploit EternalBlue. Řada odborníků na kybernetickou bezpečnost poukázala na to, že této situaci lze zcela předejít, protože záplaty byly v té době k dispozici déle než dva roky, což je časové období, během kterého by měly být nainstalovány alespoň „kritické bezpečnostní záplaty“ s „veřejným zneužitím“.