EternalBlue

EternalBlue (или ETERNALBLUE[1], CVE-2017-0144) — кодовое имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, к разработке которого, как считается, причастно Агентство национальной безопасности (США). Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 марта 2017 года. Уязвимость была использована при распространении вредоносного ПО WannaCry в мае 2017 года[1][2][3][4][5], а также при распространении Petya в июне 2017 года[6].

Описание уязвимости

Эксплоит EternalBlue использует уязвимость в реализации протокола Server Message Block v1 (SMB)[7]. Злоумышленник, сформировав и передав на удалённый узел особым образом подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код.[8]

Компания-разработчик Microsoft подтвердила, что уязвимости подвержены все версии Windows, начиная с Windows XP и заканчивая Windows Server 2016[9][10], то есть уязвимость оставалась неисправленной на протяжении по крайней мере 16 лет. Уязвимость была устранена в серии обновлений MS17-010[11].

Первое публичное использование эксплоита EternalBlue было зарегистрировано 21 апреля 2017 года, когда программа-бэкдор DoublePulsar, основанная на коде АНБ, поразила свыше 200 тысяч компьютеров в течение нескольких дней[12]. 12 мая 2017 года появился шифровальщик WannaCry, использовавший эксплоит EternalBlue и код DoublePulsar, который поразил десятки тысяч компьютеров в Интернете[13]. Размах атаки был настолько обширен, что побудил Microsoft выпустить обновления к неподдерживаемым ОС Windows XP/Windows Server 2003 и Windows 8[14].

Примечания

  1. 1 2 NSA-leaking Shadow Brokers just dumped its most damaging release yet. Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.
  2. Fox-Brewster, Thomas. "An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak". Forbes. Архивировано 28 июня 2018. Дата обращения: 13 мая 2017.
  3. An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica. Дата обращения: 13 мая 2017. Архивировано 12 мая 2017 года.
  4. Ghosh, Agamoni (2017-04-09). "'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools". International Business Times UK. Архивировано 14 мая 2017. Дата обращения: 16 мая 2017.
  5. "'NSA malware' released by Shadow Brokers hacker group". BBC News (англ.). 2017-04-10. Архивировано 23 мая 2017. Дата обращения: 16 мая 2017.
  6. "Petya ransomware outbreak: Here's what you need to know". Symantec Security Response. Архивировано 29 июня 2017. Дата обращения: 28 июня 2017.
  7. Entry for CVE-2017-0144 in CVE catalog Архивировано 30 июня 2017 года.
  8. Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN. ESET North America. Дата обращения: 16 мая 2017. Архивировано 16 мая 2017 года.
  9. Cimpanu, Catalin Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r. Bleeping Computer (13 мая 2017). Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.
  10. Windows Vista Lifecycle Policy. Microsoft. Дата обращения: 13 мая 2017. Архивировано 9 октября 2019 года.
  11. Microsoft Security Bulletin MS17-010 – Critical. technet.microsoft.com. Дата обращения: 13 мая 2017. Архивировано 21 мая 2017 года.
  12. Double Pulsar NSA leaked hacks in the wild. Wired (4 мая 2017). Дата обращения: 16 мая 2017. Архивировано 2 июня 2017 года.
  13. Newman, Lily Hay The Ransomware Meltdown Experts Warned About Is Here. Wired.com. Дата обращения: 13 мая 2017. Архивировано 19 мая 2017 года.
  14. Surur (2017-05-13). "Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003". Архивировано 29 мая 2020. Дата обращения: 13 мая 2017.