EternalBlue

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

EternalBlue (або ETERNALBLUE[1], CVE-2017-0144) — назва експлойту, що використовує уразливість Windows-реалізації протоколу SMB. Недоліки реалізації пов'язані з вимогами Агентства національної безпеки США щодо покращення можливостей збору розвідувальної інформації у разі здійснення високотаргетованих атак.[2] Відомості щодо уразливості опубліковано хакерською групою The Shadow Brokers 14 квітня 2017 року. Використовувалася у поширенні вірусу-шифрувальника WannaCry у травні 2017 року.[3][4][5]

Опис вразливості[ред. | ред. код]

Реалізація протоколу Server Message Block v1 (SMB) у ОС Windows містить недоліки, що надають можливість зловмиснику передати на віддалений вузол спеціально сформований пакет та отримати доступ до системи і виконати на ній довільний код.[6]

Компанія Microsoft підтвердила, що вразливість присутня у всіх системах Windows починаючи з Windows XP та закінчуючи Windows Server 2016. Тобто існувала близько 16 років. Закрита у серії оновлень безпеки MS17-010.[7]

Перше публічне використання експлойта EternalBlue зареєстроване 21 квітня 2017 року, коли програма-бекдор DoublePulsar, заснована на коді АНБ[джерело?], заразила близько 200 тис. комп'ютерів протягом кількох днів. 12 травня 2017 року з'явився шифрувальник WannaCry, що використовував експлойт EternalBlue та код DoublePulsar, який швидко заразив десятки тис. комп'ютерів у мережі. Microsoft через масштаб атаки випустила оновлення безпеки для ОС Windows XP, Windows 8 і Windows Server 2003, що вже офіційно не підтримуються.[8]

Атака на критичну інфраструктуру України[ред. | ред. код]

Вірус-шифрувальник родини Win32/Petya використовує вразливість EternalBlue та спричинив зараження 27 червня 2017 року великої кількості комп'ютерів, особливо серед банківських, державних установ, енергетичних компаній України.[9][10] Оновлення баз антивірусу Windows Defender розв'язує проблему.[11] Для доставки вірусу використовувався скомпрометований сервіс оновлення програми для формування звітності до ДФС M.E.Doc.[12]

Див. також[ред. | ред. код]

Посилання[ред. | ред. код]

Примітки[ред. | ред. код]

  1. NSA-leaking Shadow Brokers just dumped its most damaging release yet. Ars Technica (en-us). Архів оригіналу за 13 травня 2017. Процитовано 27 червня 2017. 
  2. 'NSA malware' released by Shadow Brokers hacker group. BBC News (en-GB). 10 квітня 2017. Архів оригіналу за 23 травня 2017. Процитовано 27 червня 2017. 
  3. Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak. Forbes. Архів оригіналу за 28 червня 2018. Процитовано 27 червня 2017. 
  4. An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica (en-us). Архів оригіналу за 12 травня 2017. Процитовано 27 червня 2017. 
  5. Ghosh, Agamoni (9 квітня 2017). 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools. International Business Times UK (англ.). Архів оригіналу за 14 травня 2017. Процитовано 27 червня 2017. 
  6. Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN. support.eset.com (амер.). Архів оригіналу за 16 травня 2017. Процитовано 27 червня 2017. 
  7. Microsoft Security Bulletin MS17-010 - Critical. technet.microsoft.com (англ.). Архів оригіналу за 21 травня 2017. Процитовано 27 червня 2017. 
  8. Warren, Tom (13 травня 2017). Microsoft issues ‘highly unusual’ Windows XP patch to prevent massive ransomware attack. The Verge. Архів оригіналу за 14 травня 2017. Процитовано 27 червня 2017. 
  9. Масштабна хакерська атака в Україні: хто потрапив "під удар" (список) (укр.). Архів оригіналу за 5 липня 2017. Процитовано 27 червня 2017. 
  10. Вірус-вимагач модифікований під Україну. В МВС розповіли подробиці найбільшої кібератаки. espreso.tv. Архів оригіналу за 27 червня 2017. Процитовано 27 червня 2017. 
  11. Ransom:Win32/Petya.A. www.microsoft.com (en-us). Архів оригіналу за 29 червня 2017. Процитовано 27 червня 2017. 
  12. Департамент кіберполіції Національної поліції України. www.facebook.com (укр.). Архів оригіналу за 27 червня 2017. Процитовано 27 червня 2017.