EternalBlue

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

EternalBlue (или ETERNALBLUE[1], CVE-2017-0144) — кодовое имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, к разработке которого, как считается, причастно Агентство национальной безопасности (США). Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 марта 2017 года. Уязвимость была использована при распространении вредоносного ПО WannaCry в мае 2017 года[1][2][3][4][5], а также при распространении Petya в июне 2017 года[6].

Описание уязвимости[править | править код]

Эксплоит EternalBlue использует уязвимость в реализации протокола Server Message Block v1 (SMB)[7]. Злоумышленник, сформировав и передав на удалённый узел особым образом подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код.[8]

Компания-разработчик Microsoft подтвердила, что уязвимости подвержены все версии Windows, начиная с Windows XP и заканчивая Windows Server 2016[9][10], то есть уязвимость оставалась неисправленной на протяжении по крайней мере 16 лет. Уязвимость была устранена в серии обновлений MS17-010[11].

Первое публичное использование эксплоита EternalBlue было зарегистрировано 21 апреля 2017 года, когда программа-бэкдор DoublePulsar, основанная на коде АНБ, поразила свыше 200 тысяч компьютеров в течение нескольких дней[12]. 12 мая 2017 года появился шифровальщик WannaCry, использовавший эксплоит EternalBlue и код DoublePulsar, который поразил десятки тысяч компьютеров в Интернете[13]. Размах атаки был настолько обширен, что побудил Microsoft выпустить обновления к неподдерживаемым ОС Windows XP/Windows Server 2003 и Windows 8[14].

Примечания[править | править код]

  1. 1 2 NSA-leaking Shadow Brokers just dumped its most damaging release yet. Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.
  2. Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak, Forbes. Архивировано 28 июня 2018 года. Дата обращения 13 мая 2017.
  3. An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica. Дата обращения: 13 мая 2017. Архивировано 12 мая 2017 года.
  4. Ghosh, Agamoni. 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools, International Business Times UK (April 9, 2017). Архивировано 14 мая 2017 года. Дата обращения 16 мая 2017.
  5. 'NSA malware' released by Shadow Brokers hacker group (англ.), BBC News (April 10, 2017). Архивировано 23 мая 2017 года. Дата обращения 16 мая 2017.
  6. Petya ransomware outbreak: Here’s what you need to know, Symantec Security Response. Архивировано 29 июня 2017 года. Дата обращения 28 июня 2017.
  7. Entry for CVE-2017-0144 in CVE catalog Архивировано 30 июня 2017 года.
  8. Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN. ESET North America. Дата обращения: 16 мая 2017. Архивировано 16 мая 2017 года.
  9. Cimpanu, Catalin Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r. Bleeping Computer (13 May 2017). Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.
  10. Windows Vista Lifecycle Policy. Microsoft. Дата обращения: 13 мая 2017. Архивировано 9 октября 2019 года.
  11. Microsoft Security Bulletin MS17-010 – Critical. technet.microsoft.com. Дата обращения: 13 мая 2017. Архивировано 21 мая 2017 года.
  12. Double Pulsar NSA leaked hacks in the wild. Wired (4 мая 2017 года). Дата обращения: 16 мая 2017. Архивировано 2 июня 2017 года.
  13. Newman, Lily Hay The Ransomware Meltdown Experts Warned About Is Here. Wired.com. Дата обращения: 13 мая 2017. Архивировано 19 мая 2017 года.
  14. Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 (13 May 2017). Архивировано 29 мая 2020 года. Дата обращения 13 мая 2017.