Открыть главное меню

EternalBlue (или ETERNALBLUE[1], CVE-2017-0144) — кодовое имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, к разработке которого, как считается, причастно Агентство национальной безопасности (США). Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 апреля 2017 года. Уязвимость была использована при распространении вредоносного ПО WannaCry в мае 2017 года[1][2][3][4][5], а также при распространении Petya в июне 2017 года[6].

Описание уязвимостиПравить

Эксплоит EternalBlue использует уязвимость в реализации протокола Server Message Block v1 (SMB)[7]. Злоумышленник, сформировав и передав на удалённый узел особым образом подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код.[8]

Компания-разработчик Microsoft подтвердила, что уязвимости подвержены все версии Windows, начиная с Windows XP и заканчивая Windows Server 2016[9][10], то есть уязвимость оставалась неисправленной на протяжении по крайней мере 16 лет. Уязвимость была устранена в серии обновлений MS17-010[11].

Первое публичное использование эксплоита EternalBlue было зарегистрировано 21 апреля 2017 года, когда программа-бэкдор DoublePulsar, основанная на коде АНБ, поразила свыше 200 тысяч компьютеров в течение нескольких дней[12]. 12 мая 2017 года появился шифровальщик WannaCry, использовавший эксплоит EternalBlue и код DoublePulsar, который поразил десятки тысяч компьютеров в Интернете[13]. Размах атаки был настолько обширен, что побудил Microsoft выпустить обновления к неподдерживаемым ОС Windows XP/Windows Server 2003, Windows Vista и Windows 8[14].

См. такжеПравить

ПримечанияПравить

  1. 1 2 NSA-leaking Shadow Brokers just dumped its most damaging release yet. Дата обращения 13 мая 2017.
  2. Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak, Forbes. Дата обращения 13 мая 2017.
  3. An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica. Дата обращения 13 мая 2017.
  4. Ghosh, Agamoni. 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools, International Business Times UK (April 9, 2017).
  5. 'NSA malware' released by Shadow Brokers hacker group (англ.), BBC News (April 10, 2017).
  6. Petya ransomware outbreak: Here’s what you need to know, Symantec Security Response. Дата обращения 28 июня 2017.
  7. Entry for CVE-2017-0144 in CVE catalog Архивировано 30 июня 2017 года.
  8. Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN. ESET North America. Дата обращения 16 мая 2017. Архивировано 16 мая 2017 года.
  9. Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r. Bleeping Computer (13 May 2017). Дата обращения 13 мая 2017.
  10. Windows Vista Lifecycle Policy. Microsoft. Дата обращения 13 мая 2017.
  11. Microsoft Security Bulletin MS17-010 – Critical. technet.microsoft.com. Дата обращения 13 мая 2017.
  12. Double Pulsar NSA leaked hacks in the wild. Wired (4 мая 2017 года). Дата обращения 16 мая 2017.
  13. The Ransomware Meltdown Experts Warned About Is Here. Wired.com. Дата обращения 13 мая 2017.
  14. Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 (13 May 2017). Дата обращения 13 мая 2017.