Věčná modrá

EternalBlue (nebo ETERNALBLUE [1] , CVE-2017-0144) je kódové označení exploitu , který využívá zranitelnost počítače v implementaci protokolu SMB ve Windows , o kterém se předpokládá, že jej vyvinula americká Národní bezpečnostní agentura . Tajné informace o zranitelnosti a spustitelném kódu exploitu zveřejnila hackerská skupina The Shadow Brokers 14. března 2017. Tato chyba zabezpečení byla zneužita v malwarové distribuci WannaCry z května 2017 [1] [2] [3] [4] [5] a v distribuci Petya z června 2017 [6] .

Popis zranitelnosti

Zneužití EternalBlue využívá zranitelnost při implementaci protokolu Server Message Block v1 (SMB) [7] . Útočník, který vygeneruje a přenese speciálně připravený balíček na vzdálený hostitel, může získat vzdálený přístup do systému a spustit na něm libovolný kód. [osm]

Společnost Microsoft potvrdila , že tato chyba zabezpečení se týká všech verzí systému Windows, od Windows XP po Windows Server 2016 [9] [10] , což znamená, že tato chyba zabezpečení zůstala neopravena po dobu nejméně 16 let. Chyba zabezpečení byla opravena v sérii aktualizací MS17-010 [11] .

První veřejné použití exploitu EternalBlue bylo zaznamenáno 21. dubna 2017 , kdy backdoor program DoublePulsar založený na kódu NSA zasáhl během pár dní přes 200 000 počítačů [12] . 12. května 2017 se objevil ransomware WannaCry využívající exploit EternalBlue a kód DoublePulsar, který zasáhl desítky tisíc počítačů na internetu [13] . Rozsah útoku byl tak rozsáhlý, že Microsoft přiměl k vydání aktualizací pro nepodporované Windows XP / Windows Server 2003 a Windows 8 [14] .

Poznámky

1. ↑ 1 2 Shadow Brokers unikající z NSA právě vypustili své dosud nejškodlivější vydání . Staženo 13. 5. 2017. Archivováno z originálu 13. 5. 2017. (neurčitý)
2. ↑ Fox-Brewster, Thomas . Za masivním globálním propuknutím ransomwaru by mohla stát kybernetická zbraň NSA , Forbes . Archivováno z originálu 28. června 2018. Staženo 13. května 2017.
3. ↑ Ransomwarový červ odvozený od NSA vypíná počítače po celém světě . Ars Technica . Staženo 13. 5. 2017. Archivováno z originálu 12. 5. 2017. (neurčitý)
4. ↑ Ghosh, Agamoni . „Presidente Trumpe, co to sakra děláte“ říkají Shadow Brokers a vyhazují další nástroje NSA pro hackerské útoky , International Business Times UK  (9. dubna 2017). Archivováno z originálu 14. května 2017. Staženo 16. května 2017.
5. ↑ 'NSA malware' vydaný hackerskou skupinou Shadow Brokers  (anglicky) , BBC News  (10. dubna 2017). Archivováno z originálu 23. května 2017. Staženo 16. května 2017.
6. ↑ Propuknutí ransomwaru Petya: Zde je to, co potřebujete vědět , Symantec Security Response . Archivováno z originálu 29. června 2017. Staženo 28. června 2017.
7. ↑ Záznam pro CVE-2017-0144 v katalogu CVE Archivováno 30. června 2017.
8. ↑ Chyba zabezpečení CVE-2017-0144 v SMB zneužitá ransomwarem WannaCryptor k šíření přes LAN . ESET Severní Amerika. Staženo 16. 5. 2017. Archivováno z originálu 16. 5. 2017. (neurčitý)
9. ↑ Cimpanu, Catalin Microsoft vydává opravu pro starší verze Windows na ochranu proti Wana Decrypt0r . Bleeping Computer (13. května 2017). Staženo 13. 5. 2017. Archivováno z originálu 13. 5. 2017. (neurčitý)
10. ↑ Zásady životního cyklu Windows Vista . Microsoft _ Získáno 13. května 2017. Archivováno z originálu 9. října 2019. (neurčitý)
11. ↑ Bulletin zabezpečení společnosti Microsoft MS17-010 – kritické . technet.microsoft.com . Staženo 13. 5. 2017. Archivováno z originálu 21. 5. 2017. (neurčitý)
12. ↑ Double Pulsar NSA unikl hackům ve volné přírodě . Drátováno (4. května 2017). Staženo 16. 5. 2017. Archivováno z originálu 2. 6. 2017. (neurčitý)
13. ↑ Newman, Lily Hay Odborníci na zhroucení ransomwaru varovali je tady . wired.com . Staženo 13. 5. 2017. Archivováno z originálu 19. 5. 2017. (neurčitý)
14. ↑ Společnost Microsoft vydala opravu Wannacrypt pro nepodporované systémy Windows XP, Windows 8 a Windows Server 2003  (13. května 2017). Archivováno 29. května 2020. Staženo 13. května 2017.