Hvad er EternalBlue?

"EternalBlue" er navnet på en lækket NSA udviklet udnyttelse af en sårbarhed i SMBv1, der var til stede i alle Windows-operativsystemer mellem Windows 95 og Windows 10. Server Message Block version 1, eller SMBv1, er en kommunikationsprotokol, der bruges til at dele adgang til filer, printere og serielle porte over netværket.

Tip: NSA blev tidligere identificeret som en "Equation Group"-trusselsaktør, før denne og andre udnyttelser og aktiviteter blev knyttet til dem.

NSA identificerede sårbarheden i SMB-protokollen mindst så tidligt som i 2011. Under sin strategi med at oplagre sårbarheder til eget brug valgte den ikke at afsløre den til Microsoft, så problemet kunne blive rettet. NSA udviklede derefter en udnyttelse til problemet, som de kaldte EternalBlue. EternalBlue er i stand til at give fuldstændig kontrol over en sårbar computer, da den giver vilkårlig kodekørsel på administratorniveau uden at kræve brugerinteraktion.

Skyggemæglerne

På et tidspunkt, før august 2016, blev NSA hacket af en gruppe, der kalder sig "The Shadow Brokers", menes at være en russisk statssponsoreret hackergruppe. Shadow Brokers fik adgang til en stor skare af data og hackingværktøjer. De forsøgte i første omgang at bortauktionere dem og sælge dem for penge, men modtog ringe interesse.

Tip: En "statssponsoreret hackergruppe" er en eller flere hackere, der opererer enten med en regerings udtrykkelige samtykke, støtte og vejledning eller for officielle statslige offensive cybergrupper. Begge muligheder indikerer, at grupperne er meget velkvalificerede, målrettede og bevidste i deres handlinger. 

Efter at have forstået, at deres værktøjer var kompromitteret, informerede NSA Microsoft om detaljerne om sårbarhederne, så en patch kunne udvikles. Oprindeligt planlagt til udgivelse i februar 2017, blev patchen skubbet til marts for at sikre, at problemerne blev rettet korrekt. Den 14. marts 2017 offentliggjorde Microsoft opdateringerne, hvor EternalBlue-sårbarheden er beskrevet i sikkerhedsbulletinen MS17-010, til Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 og Server 2016.

En måned senere den 14. april offentliggjorde The Shadow Brokers udnyttelsen sammen med snesevis af andre bedrifter og detaljer. Desværre, på trods af at patcherne var tilgængelige i en måned før udnyttelserne blev offentliggjort, installerede mange systemer ikke rettelserne og forblev sårbare.

Brug af EternalBlue

Knap en måned efter, at udnyttelserne blev offentliggjort, blev "Wannacry" ransomware-ormen den 12. maj 2017 lanceret ved hjælp af EternalBlue-udnyttelsen til at sprede sig til så mange systemer som muligt. Næste dag udgav Microsoft nødsikkerhedsrettelser til de ikke-understøttede Windows-versioner: XP, 8 og Server 2003.

Tip: "Ransomware" er en klasse af malware, der krypterer inficerede enheder og derefter holder dekrypteringsnøglen til løsesum, typisk for Bitcoin eller andre kryptovalutaer. En "orm" er en klasse af malware, der automatisk udbreder sig til andre computere i stedet for at kræve, at computere er individuelt inficerede.

Ifølge IBM X-Force var "Wannacry" ransomware-ormen ansvarlig for mere end 8 milliarder USD i skader i 150 lande, selvom udnyttelsen kun fungerede pålideligt på Windows 7 og Server 2008. I februar 2018 modificerede sikkerhedsforskere med succes udnyttelsen til være i stand til at arbejde pålideligt på alle versioner af Windows siden Windows 2000.

I maj 2019 blev den amerikanske by Baltimore ramt af et cyberangreb, der udnyttede EternalBlue-udnyttelsen. En række cybersikkerhedseksperter påpegede, at denne situation helt kunne forhindres, da patches havde været tilgængelige i mere end to år på det tidspunkt, en tidsperiode, over hvilken i det mindste "Kritiske sikkerhedsrettelser" med "Public Exploits" skulle have været installeret.