Hva er EternalBlue?

"EternalBlue" er navnet på en lekket NSA utviklet utnyttelse for en sårbarhet i SMBv1 som var til stede i alle Windows-operativsystemer mellom Windows 95 og Windows 10. Server Message Block versjon 1, eller SMBv1, er en kommunikasjonsprotokoll som brukes til å dele tilgang til filer, skrivere og serielle porter over nettverket.

Tips: NSA ble tidligere identifisert som en "Equation Group" trusselaktør før denne og andre utnyttelser og aktivitet ble knyttet til dem.

NSA identifiserte sårbarheten i SMB-protokollen minst så tidlig som i 2011. Under sin strategi om å lagre sårbarheter for eget bruk, valgte de å ikke avsløre det til Microsoft slik at problemet kunne lappes. NSA utviklet deretter en utnyttelse for problemet som de kalte EternalBlue. EternalBlue er i stand til å gi full kontroll over en sårbar datamaskin ettersom den gir vilkårlig kodekjøring på administratornivå uten å kreve brukerinteraksjon.

The Shadow Brokers

På et tidspunkt, før august 2016, ble NSA hacket av en gruppe som kalte seg "The Shadow Brokers", antatt å være en russisk statsstøttet hackergruppe. Shadow Brokers fikk tilgang til en stor mengde data og hackingverktøy. De prøvde først å auksjonere dem bort og selge dem for penger, men fikk liten interesse.

Tips: En "statssponset hackergruppe" er en eller flere hackere som opererer enten med en regjerings eksplisitte samtykke, støtte og retning eller for offisielle offentlige offensive cybergrupper. Begge alternativene indikerer at gruppene er svært godt kvalifiserte, målrettede og bevisste i sine handlinger. 

Etter å ha forstått at verktøyene deres var kompromittert, informerte NSA Microsoft om detaljene rundt sårbarhetene slik at en patch kunne utvikles. Opprinnelig planlagt for utgivelse i februar 2017, ble oppdateringen skjøvet til mars for å sikre at problemene ble riktig løst. Den 14. mars 2017 publiserte Microsoft oppdateringene, med EternalBlue-sårbarheten beskrevet i sikkerhetsbulletinen MS17-010, for Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 og Server 2016.

En måned senere, den 14. april, publiserte The Shadow Brokers utnyttelsen, sammen med dusinvis av andre bedrifter og detaljer. Dessverre, til tross for at oppdateringene var tilgjengelige i en måned før utnyttelsene ble publisert, installerte mange systemer ikke oppdateringene og forble sårbare.

Bruk av EternalBlue

En knapp måned etter at utnyttelsene ble publisert, den 12. mai 2017 ble "Wannacry" løsepenge-ormen lansert ved å bruke EternalBlue-utnyttelsen for å spre seg til så mange systemer som mulig. Dagen etter ga Microsoft ut nødsikkerhetsoppdateringer for Windows-versjonene som ikke støttes: XP, 8 og Server 2003.

Tips: "Ransomware" er en klasse av skadelig programvare som krypterer infiserte enheter og deretter holder dekrypteringsnøkkelen for løsepenger, typisk for Bitcoin eller andre kryptovalutaer. En "orm" er en klasse skadevare som automatisk forplanter seg til andre datamaskiner, i stedet for å kreve at datamaskiner blir individuelt infisert.

I følge IBM X-Force var "Wannacry" løsepenge-ormen ansvarlig for mer enn USD 8 milliarder i skader i 150 land, selv om utnyttelsen bare fungerte pålitelig på Windows 7 og Server 2008. I februar 2018 endret sikkerhetsforskere utnyttelsen til kunne fungere pålitelig på alle versjoner av Windows siden Windows 2000.

I mai 2019 ble den amerikanske byen Baltimore rammet av et nettangrep ved bruk av EternalBlue-utnyttelsen. En rekke cybersikkerhetseksperter påpekte at denne situasjonen helt kunne forebygges ettersom patcher hadde vært tilgjengelige i mer enn to år på det tidspunktet, en tidsperiode som i det minste "Critical Security Patcher" med "Public Exploits" burde vært installert.