EternalBlue

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

EternalBlue (або ETERNALBLUE[1], CVE-2017-0144) — назва експлойту, що використовує уразливість Windows-реалізації протоколу SMB. Недоліки реалізації пов'язані з вимогами Агентства національної безпеки США щодо покращення можливостей збору розвідувальної інформації у разі здійснення високотаргетованих атак.[2] Відомості щодо уразливості опубліковано хакерською групою The Shadow Brokers 14 квітня 2017 року. Використовувалася у поширенні віруса-шифрувальника WannaCry у травні 2017 року.[3][4][5]

Опис вразливості[ред. | ред. код]

Реалізація протоколу Server Message Block v1 (SMB) у ОС Windows містить недоліки, що надають можливість зловмиснику передати на віддалений вузол спеціально сформований пакет та отримати доступ до системи і виконати на ній довільний код.[6]

Компанія Microsoft підтвердила, що вразливість присутня у всіх системах Windows починаючи з Windows XP та закінчуючи Windows Server 2016. Тобто існувала близько 16 років. Закрита у серії оновлень безпеки MS17-010.[7]

Перше публічне використання експлойта EternalBlue зареєстроване 21 квітня 2017 року, коли програма-бекдор DoublePulsar, заснована на коді АНБ[джерело?], заразила близько 200 тис. комп'ютерів протягом кількох днів. 12 травня 2017 року з'явився шифрувальник WannaCry, що використовував експлойт EternalBlue та код DoublePulsar, який швидко заразив десятки тис. комп'ютерів у мережі. Microsoft через масштаб атаки випустила оновлення безпеки для ОС Windows XP, Windows 8 і Windows Server 2003, що вже офіційно не підтримуються.[8]

Атака на критичну інфраструктуру України[ред. | ред. код]

Вірус-шифрувальник родини Win32/Petya використовує вразливість EternalBlue та спричинив зараження 27 червня 2017 року великої кількості комп'ютерів, особливо серед банківських, державних установ, енергетичних компаній України.[9][10] Оновлення баз антивірусу Windows Defender вирішує проблему.[11] Для доставки вірусу використовувався скомпрометований сервіс оновлення програми для формування звітності до ДФС M.E.Doc.[12]

Див. також[ред. | ред. код]

Посилання[ред. | ред. код]

Примітки[ред. | ред. код]

  1. NSA-leaking Shadow Brokers just dumped its most damaging release yet. Ars Technica (en-us). Процитовано 2017-06-27. 
  2. 'NSA malware' released by Shadow Brokers hacker group. BBC News (en-GB). 2017-04-10. Процитовано 2017-06-27. 
  3. Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak. Forbes. Процитовано 2017-06-27. 
  4. An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica (en-us). Процитовано 2017-06-27. 
  5. Ghosh, Agamoni (2017-04-09). 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools. International Business Times UK (en). Процитовано 2017-06-27. 
  6. Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN. support.eset.com (en-US). Процитовано 2017-06-27. 
  7. Microsoft Security Bulletin MS17-010 - Critical. technet.microsoft.com (en). Процитовано 2017-06-27. 
  8. Warren, Tom (2017-05-13). Microsoft issues ‘highly unusual’ Windows XP patch to prevent massive ransomware attack. The Verge. Процитовано 2017-06-27. 
  9. Масштабна хакерська атака в Україні: хто потрапив "під удар" (список) (uk). Процитовано 2017-06-27. 
  10. Вірус-вимагач модифікований під Україну. В МВС розповіли подробиці найбільшої кібератаки. espreso.tv. Процитовано 2017-06-27. 
  11. Ransom:Win32/Petya.A. www.microsoft.com (en-us). Процитовано 2017-06-27. 
  12. Департамент кіберполіції Національної поліції України. www.facebook.com (uk). Процитовано 2017-06-27.