Téměř deset let poté je EternalBlue stále živou hrozbou. Řada starších systémů nikdy nedostala správné aktualizace a některé organizace dosud provozují zastaralé vybavení závislé na stejné technologii. Na problém upozorňuje bezpečnostní firma Panda Security.
To útočníkům, kteří internet skenují po zranitelných strojích, otevírá dveře.
Co je EternalBlue?
EternalBlue je exploit – kus kódu, který využívá chybu v Microsoft Windows. Cílí na zranitelnost CVE-2017–0144 v protokolu sdílení souborů SMBv1 (Server Message Block verze 1). Postihuje starší verze Windows, včetně XP, 7 a řady serverových edic, které SMBv1 pro síťové sdílení souborů používaly.
Exploit sám o sobě není malware ani útok. Je to nástroj, který zranitelnost zneužije k průniku do systému. Teprve poté útočníci instalují ransomware, infostealery nebo jiný škodlivý software.
Zranitelnost zůstávala léta skrytá, dokud ji záhadná skupina Shadow Brokers v roce 2017 neukradla a nezveřejnila spolu s dalšími NSA nástroji. Jakmile se exploit dostal na veřejnost, kyberzločinci ho okamžitě nasadili do rozsáhlých útoků.
Je EternalBlue dnes stále nebezpečný? Ano – ale především pro ty, kdo stále spoléhají na legacy systémy. Mnoho odvětví provozuje specializovaná zařízení na starých verzích Windows, která je obtížné aktualizovat. Typickým příkladem je zdravotnická technika: výměna nebo upgrade jsou nákladné, takže zařízení běží na zastaralém softwaru dál.
Microsoft vydal bezpečnostní aktualizaci MS17–010 jako oficiální opravu. Moderní systémy jako Windows 11 nejsou ohroženy. Windows 10 lze rovněž zabezpečit správnými aktualizacemi – nepatchované stroje s SMB vystaveným na portu 445 však zranitelné zůstávají.
Jak EternalBlue funguje?
Exploit útočí na protokol SMB, který Windows používá ke sdílení souborů a tiskáren v síti. Když zranitelný počítač přijme speciálně sestavená data, chyby v SMBv1 způsobí jejich nesprávné zpracování – a útočník toho využije.
Průběh útoku krok za krokem:
- Na Windows stroj je přes protokol SMB odeslán škodlivý paket.
- Systém paket zpracuje chybně kvůli chybě v SMBv1.
- Dojde k chybám v paměti, útočník získá kontrolu nad částí systému.
- Útočník vzdáleně spustí škodlivý kód – bez přihlášení.
- Nainstaluje se malware, který se může šířit na další zranitelné stroje v síti.
Největší útoky využívající EternalBlue
WannaCry (květen 2017) Jeden z největších ransomwarových výbuchů v historii. Malware použil EternalBlue k automatickému šíření mezi zranitelnými Windows stroji, šifroval soubory a požadoval výkupné v bitcoinech. Během několika dní nakazil přes 200 000 počítačů ve více než 150 zemích a způsobil odhadované škody 4 miliardy dolarů.
NotPetya (červen 2017) NotPetya se objevil pouhé týdny po WannaCry. Navenek vypadal jako ransomware, ve skutečnosti byl navržen k trvalé destrukci dat. Pomocí EternalBlue se šířil sítěmi a ochromoval velké organizace, zejména na Ukrajině, odkud se rozšířil do celého světa. Zasáhl přepravní společnosti, banky i výrobní podniky a způsobil škody kolem 10 miliard dolarů – jde o jeden z nejnákladnějších kyberútoků vůbec.
Video ke kávě
Máte čas na rychlé a informativní video?
EternalRocks Červ objevený krátce po WannaCry. Namísto jediného exploitu kombinoval sedm různých NSA hackerských nástrojů včetně EternalBlue. Výzkumníci varovali, že malware dokáže tiše pronikat sítěmi a budovat rozsáhlé botnety ještě před spuštěním dalších útoků.
LemonDuck Dlouhotrvající malwarová kampaň cílící na Windows i Linux. V řadě případů využívá zranitelnost EternalBlue k napadení nepatchovaných Windows strojů a instalaci softwaru pro těžbu kryptoměn. Kampaň infikovala tisíce systémů po celém světě, často se zaměřuje na firmy a cloudová prostředí.
Smominru Rozsáhlý botnet šířící se přes zranitelnost EternalBlue na zastaralé Windows systémy. Po průniku instaluje kryptominingový malware, který tajně využívá výpočetní výkon napadeného počítače. Na svém vrcholu infikoval botnet přibližně 4 700 počítačů denně a celkem kompromitoval stovky tisíc strojů po celém světě.
Jak se před EternalBlue chránit?
Moderní systémy na Windows 11 jsou z velké části v bezpečí, starší systémy však vyžadují větší pozornost. Dnešní útoky stále skenují sítě po nepatchovaných strojích.
Chcete dostávat do mailu týdenní přehled článků z Computertrends? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Přejděte na Windows 11. Systémy s Windows 11 zranitelností EternalBlue netrpí. Pokud stále používáte Windows 7 nebo jiné zastaralé verze, upgrade riziko eliminuje a přináší moderní bezpečnostní ochranu.
Patchujte legacy systémy. Pokud musí starší systémy zůstat v provozu, nainstalujte bezpečnostní aktualizaci MS17–010 od Microsoftu. Záplata zavírá zranitelnost, kterou EternalBlue zneužívá.
Vypněte protokol SMBv1. EternalBlue cílí právě na SMBv1. Jeho deaktivace odstraní slabý článek, na který útočníci spoléhají. Postup: otevřete dialog Zapnout nebo vypnout funkce systému Windows, sjeďte dolů, rozbalte položku Podpora sdílení souborů SMB 1.0/CIFS a zrušte zaškrtnutí hlavního políčka.
Blokujte port 445. Útoky přes EternalBlue typicky procházejí portem 445, který obsluhuje SMB provoz. Blokování portu 445 na perimetru sítě zabrání externím útočníkům v dosažení zranitelných systémů.
Zapněte ochranu firewallem. Správně nakonfigurovaný firewall dokáže zastavit podezřelý síťový provoz dříve, než dosáhne zranitelných služeb.
Segmentujte sítě. Síťová segmentace omezuje, jak daleko se malware může šířit. Pokud se jeden stroj nakazí, rozdělení systémů do menších síťových zón pomáhá škody lokalizovat.
Computertrends si můžete objednat i jako klasický časopis. Je jediným odborným magazínem na českém a slovenském trhu zaměreným na profesionály v oblasti informačních a komunikačních technologií (ICT). Díky silnému zázemí přináší aktuální zpravodajství, analýzy, komentáře a přehledy nejnovejších technologií dříve a na vyšší odborné úrovni, než ostatní periodika na tuzemském trhu.
Obsah Computertrends je určen odborníkům a manažerům z firem a institucí, kteří se podílejí na rozhodovacím procesu při nákupu ICT technologií. Jednotlivá čísla si můžete objednat i v digitální podobě.
PŘEDPLATNÉ
ČLÁNKY DO MAILU