Mi az EternalBlue?

Az „EternalBlue” egy kiszivárgott NSA-nak az SMBv1 sebezhetőségére kifejlesztett kizsákmányolás neve, amely minden Windows operációs rendszerben jelen volt a Windows 95 és a Windows 10 között. A Server Message Block 1. verziója vagy az SMBv1 egy kommunikációs protokoll, amelyet a hozzáférés megosztására használnak. fájlokhoz, nyomtatókhoz és soros portokhoz a hálózaton keresztül.

Tipp: Az NSA-t korábban az „Equation Group” fenyegetettség szereplőjeként azonosították, mielőtt ezt és más kizsákmányolásokat és tevékenységeket hozzájuk kötötték volna.

Az NSA már legalább 2011-ben azonosította az SMB-protokoll biztonsági rését. A biztonsági réseket saját használatra gyűjtő stratégiája értelmében úgy döntött, hogy nem fedi fel a Microsoftnak, hogy a hibát kijavíthassák. Az NSA ezután kifejlesztett egy exploitot a problémára, amelyet EternalBlue-nak neveztek el. Az EternalBlue képes teljes irányítást biztosítani a sebezhető számítógépek felett, mivel rendszergazdai szintű tetszőleges kódfuttatást biztosít felhasználói beavatkozás nélkül.

Az árnyékbrókerek

Valamikor, 2016 augusztusa előtt, az NSA-t feltörte egy magát „The Shadow Brokers”-nek nevezett csoport, amely feltehetően orosz állami támogatású hackercsoport. Az Árnyékbrókerek rengeteg adathoz és hackereszközökhöz jutottak hozzá. Kezdetben megpróbálták elárverezni és pénzért eladni, de kevés kamatot kaptak.

Tipp: Az „államilag szponzorált hackercsoport” egy vagy több hacker, amely vagy a kormány kifejezett beleegyezésével, támogatásával és irányításával, vagy hivatalos kormányzati támadó kibercsoportok számára működik. Bármelyik opció azt jelzi, hogy a csoportok nagyon jól képzettek, céltudatosak és megfontoltak. 

Miután megértette, hogy eszközeiket veszélybe sodorták, az NSA tájékoztatta a Microsoftot a sebezhetőség részleteiről, hogy a javítást ki lehessen fejleszteni. Az eredetileg 2017 februárjára tervezett javítást márciusra tolták el, hogy biztosítsák a problémák helyes megoldását. 2017. március 14-én a Microsoft közzétette a frissítéseket, amelyekben az EternalBlue sebezhetőségét az MS17-010 biztonsági közlemény részletezi Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 és Server 2016 rendszerekhez.

Egy hónappal később, április 14-én a The Shadow Brokers nyilvánosságra hozta az exploitot, több tucatnyi más kizsákmányolással és részlettel együtt. Sajnos annak ellenére, hogy a javítások egy hónapig elérhetőek voltak a kihasználások közzététele előtt, sok rendszer nem telepítette a javításokat, és sebezhető maradt.

Az EternalBlue használata

Alig egy hónappal a támadások közzététele után, 2017. május 12-én elindult a „Wannacry” ransomware féreg az EternalBlue exploit segítségével, hogy a lehető legtöbb rendszerre elterjedjen. Másnap a Microsoft vészhelyzeti biztonsági javításokat adott ki a nem támogatott Windows-verziókhoz: XP, 8 és Server 2003.

Tipp: A „Ransomware” egy olyan rosszindulatú program, amely titkosítja a fertőzött eszközöket, majd megtartja a váltságdíj visszafejtési kulcsát, jellemzően Bitcoin vagy más kriptovaluta esetében. A „féreg” a rosszindulatú programok egy osztálya, amely automatikusan továbbterjed más számítógépekre, ahelyett, hogy a számítógépeket külön-külön meg kell fertőzni.

Az IBM X-Force szerint a „Wannacry” ransomware féreg több mint 8 milliárd dolláros kárért volt felelős 150 országban, annak ellenére, hogy a kizsákmányolás csak Windows 7 és Server 2008 rendszeren működött megbízhatóan. 2018 februárjában a biztonsági kutatók sikeresen módosították a kizsákmányolást. megbízhatóan működhet a Windows összes verzióján a Windows 2000 óta.

2019 májusában az amerikai Baltimore városát kibertámadás érte az EternalBlue kihasználásával. Számos kiberbiztonsági szakértő rámutatott, hogy ez a helyzet teljes mértékben megelőzhető volt, mivel a javítások ekkor már több mint két éve rendelkezésre álltak, és ez az időtartam, amely alatt legalább a „Public Exploit”-ot tartalmazó „kritikus biztonsági javításokat” kellett volna telepíteni.