![]()
EternalBlue
EternalBlue (или ETERNALBLUE[1], CVE-2017-0144) — кодовое имя эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, к разработке которого, как считается, причастно Агентство национальной безопасности (США). Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 марта 2017 года. Уязвимость была использована при распространении вредоносного ПО WannaCry в мае 2017 года[1][2][3][4][5], а также при распространении Petya в июне 2017 года[6].
![]()
![]()
Описание уязвимости![]()
Править
Эксплоит EternalBlue использует уязвимость в реализации протокола Server Message Block v1 (SMB)[7]. Злоумышленник, сформировав и передав на удалённый узел особым образом подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код.[8]
Компания-разработчик Microsoft подтвердила, что уязвимости подвержены все версии Windows, начиная с Windows XP и заканчивая Windows Server 2016[9][10], то есть уязвимость оставалась неисправленной на протяжении по крайней мере 16 лет. Уязвимость была устранена в серии обновлений MS17-010[11].
Первое публичное использование эксплоита EternalBlue было зарегистрировано 21 апреля 2017 года, когда программа-бэкдор DoublePulsar, основанная на коде АНБ, поразила свыше 200 тысяч компьютеров в течение нескольких дней[12]. 12 мая 2017 года появился шифровальщик WannaCry, использовавший эксплоит EternalBlue и код DoublePulsar, который поразил десятки тысяч компьютеров в Интернете[13]. Размах атаки был настолько обширен, что побудил Microsoft выпустить обновления к неподдерживаемым ОС Windows XP/Windows Server 2003 и Windows 8[14].
![]()
![]()
Примечания![]()
Править
↑ 1 2
NSA-leaking Shadow Brokers just dumped its most damaging release yet (неопр.). Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.
↑
Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak, Forbes. Архивировано 28 июня 2018 года. Дата обращения: 13 мая 2017.
↑
An NSA-derived ransomware worm is shutting down computers worldwide (неопр.). Ars Technica. Дата обращения: 13 мая 2017. Архивировано 12 мая 2017 года.
↑
Ghosh, Agamoni. 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools, International Business Times UK (April 9, 2017). Архивировано 14 мая 2017 года. Дата обращения: 16 мая 2017.
↑
'NSA malware' released by Shadow Brokers hacker group (англ.), BBC News (April 10, 2017). Архивировано 23 мая 2017 года. Дата обращения: 16 мая 2017.
↑
Petya ransomware outbreak: Here’s what you need to know, Symantec Security Response. Архивировано 29 июня 2017 года. Дата обращения: 28 июня 2017.
↑
Entry for CVE-2017-0144 in CVE catalog Архивировано 30 июня 2017 года.
↑
Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN (неопр.). ESET North America. Дата обращения: 16 мая 2017. Архивировано 16 мая 2017 года.
↑
Cimpanu, Catalin
Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r (неопр.). Bleeping Computer (13 мая 2017). Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.
↑
Windows Vista Lifecycle Policy (неопр.). Microsoft. Дата обращения: 13 мая 2017. Архивировано 9 октября 2019 года.
↑
Microsoft Security Bulletin MS17-010 – Critical (неопр.). technet.microsoft.com. Дата обращения: 13 мая 2017. Архивировано 21 мая 2017 года.
↑
Double Pulsar NSA leaked hacks in the wild (неопр.). Wired (4 мая 2017). Дата обращения: 16 мая 2017. Архивировано 2 июня 2017 года.
↑
Newman, Lily Hay
The Ransomware Meltdown Experts Warned About Is Here (неопр.). Wired.com. Дата обращения: 13 мая 2017. Архивировано 19 мая 2017 года.
↑
Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 (13 May 2017). Архивировано 29 мая 2020 года. Дата обращения: 13 мая 2017.