EternalBlue
EternalBlue (або ETERNALBLUE[1], CVE-2017-0144) — назва експлойту, що використовує уразливість Windows-реалізації протоколу SMB. Недоліки реалізації пов'язані з вимогами Агентства національної безпеки США щодо покращення можливостей збору розвідувальної інформації у разі здійснення високотаргетованих атак.[2] Відомості щодо уразливості опубліковано хакерською групою The Shadow Brokers 14 квітня 2017 року. Використовувалася у поширенні вірусу-шифрувальника WannaCry у травні 2017 року.[3][4][5]
Опис вразливості ред.
Реалізація протоколу Server Message Block v1 (SMB) у ОС Windows містить недоліки, що надають можливість зловмиснику передати на віддалений вузол спеціально сформований пакет та отримати доступ до системи і виконати на ній довільний код.[6]
Компанія Microsoft підтвердила, що вразливість присутня у всіх системах Windows починаючи з Windows XP та закінчуючи Windows Server 2016. Тобто існувала близько 16 років. Закрита у серії оновлень безпеки MS17-010.[7]
Перше публічне використання експлойта EternalBlue зареєстроване 21 квітня 2017 року, коли програма-бекдор DoublePulsar, заснована на коді АНБ[джерело?], заразила близько 200 тис. комп'ютерів протягом кількох днів. 12 травня 2017 року з'явився шифрувальник WannaCry, що використовував експлойт EternalBlue та код DoublePulsar, який швидко заразив десятки тис. комп'ютерів у мережі. Microsoft через масштаб атаки випустила оновлення безпеки для ОС Windows XP, Windows 8 і Windows Server 2003, що вже офіційно не підтримуються.[8]
Атака на критичну інфраструктуру України ред.
Вірус-шифрувальник родини Win32/Petya використовує вразливість EternalBlue та спричинив зараження 27 червня 2017 року великої кількості комп'ютерів, особливо серед банківських, державних установ, енергетичних компаній України.[9][10] Оновлення баз антивірусу Windows Defender розв'язує проблему.[11] Для доставки вірусу використовувався скомпрометований сервіс оновлення програми для формування звітності до ДФС M.E.Doc.[12]
Див. також ред.
Посилання ред.
Примітки ред.
- ↑ NSA-leaking Shadow Brokers just dumped its most damaging release yet. Ars Technica (en-us) . Архів оригіналу за 13 травня 2017. Процитовано 27 червня 2017.
- ↑ 'NSA malware' released by Shadow Brokers hacker group. BBC News (en-GB) . 10 квітня 2017. Архів оригіналу за 23 травня 2017. Процитовано 27 червня 2017.
- ↑ Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak. Forbes. Архів оригіналу за 28 червня 2018. Процитовано 27 червня 2017.
- ↑ An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica (en-us) . Архів оригіналу за 12 травня 2017. Процитовано 27 червня 2017.
- ↑ Ghosh, Agamoni (9 квітня 2017). 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools. International Business Times UK (англ.). Архів оригіналу за 14 травня 2017. Процитовано 27 червня 2017.
- ↑ Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN. support.eset.com (амер.). Архів оригіналу за 16 травня 2017. Процитовано 27 червня 2017.
- ↑ Microsoft Security Bulletin MS17-010 - Critical. technet.microsoft.com (англ.). Архів оригіналу за 21 травня 2017. Процитовано 27 червня 2017.
- ↑ Warren, Tom (13 травня 2017). Microsoft issues ‘highly unusual’ Windows XP patch to prevent massive ransomware attack. The Verge. Архів оригіналу за 14 травня 2017. Процитовано 27 червня 2017.
- ↑ Масштабна хакерська атака в Україні: хто потрапив "під удар" (список) (укр.). Архів оригіналу за 5 липня 2017. Процитовано 27 червня 2017.
- ↑ Вірус-вимагач модифікований під Україну. В МВС розповіли подробиці найбільшої кібератаки. espreso.tv. Архів оригіналу за 27 червня 2017. Процитовано 27 червня 2017.
- ↑ Ransom:Win32/Petya.A. www.microsoft.com (en-us) . Архів оригіналу за 29 червня 2017. Процитовано 27 червня 2017.
- ↑ Департамент кіберполіції Національної поліції України. www.facebook.com (укр.). Архів оригіналу за 27 червня 2017. Процитовано 27 червня 2017.