EternalBlue

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

EternalBlue (или ETERNALBLUE[1], CVE-2017-0144) — кодовое имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, к разработке которого, как считается, причастно Агентство национальной безопасности (США). Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 апреля 2017 года. Уязвимость была использована при распространении вредоносного ПО WannaCry в мае 2017 года[1][2][3][4][5], а также при распространении Petya в июне 2017 года[6].

Описание уязвимости[править | править вики-текст]

Эксплоит EternalBlue использует уязвимость в реализации протокола Server Message Block v1 (SMB)[7]. Злоумышленник, сформировав и передав на удалённый узел особо подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код.[8]

Компания-разработчик Microsoft подтвердила, что уязвимости подвержены все версии Windows, начиная с Windows XP и заканчивая Windows Server 2016[9][10], то есть уязвимость оставалась неисправленной на протяжении по крайней мере 16 лет. Уязвимость была устранена в серии обновлений MS17-010[11].

Первое публичное использование эксплоита EternalBlue было зарегистрировано 21 апреля 2017 года, когда программа-бэкдор DoublePulsar, основанная на коде АНБ, поразила свыше 200 тысяч компьютеров в течение нескольких дней[12]. 12 мая 2017 года появился шифровальщик WannaCry, использовавший эксплоит EternalBlue и код DoublePulsar, который поразил десятки тысяч компьютеров в Интернете[13]. Размах атаки был настолько обширен, что побудил Microsoft выпустить обновления к неподдерживаемым ОС Windows XP, Windows 8 и Windows Server 2003[14].

См. также[править | править вики-текст]

Примечания[править | править вики-текст]

  1. 1 2 NSA-leaking Shadow Brokers just dumped its most damaging release yet. Проверено 13 мая 2017.
  2. Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak, Forbes. Проверено 13 мая 2017.
  3. An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica. Проверено 13 мая 2017.
  4. Ghosh, Agamoni. 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools, International Business Times UK (April 9, 2017).
  5. 'NSA malware' released by Shadow Brokers hacker group (en-GB), BBC News (April 10, 2017).
  6. Petya ransomware outbreak: Here’s what you need to know, Symantec Security Response. Проверено 28 июня 2017.
  7. Entry for CVE-2017-0144 in CVE catalog
  8. Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN. ESET North America. Проверено 16 мая 2017. Архивировано 16 мая 2017 года.
  9. Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r. Bleeping Computer (13 May 2017). Проверено 13 мая 2017.
  10. Windows Vista Lifecycle Policy. Microsoft. Проверено 13 мая 2017.
  11. Microsoft Security Bulletin MS17-010 – Critical. technet.microsoft.com. Проверено 13 мая 2017.
  12. Double Pulsar NSA leaked hacks in the wild. Wired (4 мая 2017 года). Проверено 16 мая 2017.
  13. The Ransomware Meltdown Experts Warned About Is Here. Wired.com. Проверено 13 мая 2017.
  14. Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 (13 May 2017). Проверено 13 мая 2017.