EternalBlue (CVE-2017-0144)
Was ist EternalBlue (CVE-2017-0144)?
EternalBlue (CVE-2017-0144)Von der NSA entwickelter Exploit für eine Remote-Code-Execution-Schwachstelle in Microsofts SMBv1 (2017), durch Shadow Brokers geleakt und von WannaCry und NotPetya genutzt.
EternalBlue (CVE-2017-0144) ist eine Remote-Code-Execution-Schwachstelle in Microsofts SMBv1-Implementierung, mit der ein unauthentifizierter Angreifer im Netzwerk Code im Kernel-Kontext auf den meisten damals unterstützten Windows-Systemen ausführen konnte. Der Exploit war eine Fähigkeit der NSA/Equation Group, die von den Shadow Brokers am 14. April 2017 öffentlich geleakt wurde – zusammen mit dem FuzzBunch-Framework und der Kernel-Backdoor DoublePulsar, die Angreifer üblicherweise als Post-Exploitation-Payload installierten.
Technisch missbraucht EternalBlue die Art, wie srv.sys überdimensionierte SMBv1-Transaktionen verarbeitet: Eine Typverwechslung (Type Confusion) darin, wie der Server die Größe einer Liste erweiterter Attribute (FEA) castet, verursacht einen Pufferüberlauf im nicht ausgelagerten Kernel-Pool (Non-Paged Pool). Der Angreifer präpariert den Kernel-Heap mit SMB-Paketen, sodass der Überlauf direkt neben einem SRVNET-Puffer landet, und lenkt die Ausführung schließlich in vom Angreifer kontrollierten Shellcode um. Microsoft veröffentlichte MS17-010 am 14. März 2017 – einen Monat vor dem Leak – und unternahm später den seltenen Schritt, das nicht mehr unterstützte Windows XP zu patchen, als WannaCry sich auszubreiten begann.
Die Schwachstelle wurde zum Verbreitungsmotor von WannaCry (12. Mai 2017) und NotPetya (27. Juni 2017); NotPetya, ein als Ransomware getarnter Wiper, verursachte über 10 Milliarden US-Dollar Schaden und legte Maersk, Merck und Mondelez lahm. Jahre später werden ungepatchte SMBv1-Hosts immer noch kompromittiert. Schutzmaßnahmen: MS17-010 einspielen, SMBv1 vollständig deaktivieren, TCP/445 am Perimeter blockieren und flache Netzwerke segmentieren.
flowchart TD
A[Shadow-Brokers-Leak<br/>April 2017] --> B[EternalBlue-Exploit<br/>CVE-2017-0144]
B --> C[Manipulierte überdimensionierte SMBv1-Transaktion]
C --> D[Type Confusion + Non-Paged-Pool-Überlauf in srv.sys]
D --> E[Codeausführung im Kernel]
E --> F[DoublePulsar-Backdoor]
F --> G{Payload}
G --> H[WannaCry-Ransomware]
G --> I[NotPetya-Wiper]
H --> J[Wurmt zum nächsten Host über TCP/445]
I --> J
J --> C● Beispiele
- 01
WannaCry verbreitete sich wurmartig über EternalBlue in Windows-Unternehmensnetzen.
- 02
NotPetya zerstörte Daten, nachdem es sich per EternalBlue in Organisationen ausgebreitet hatte.
● Häufige Fragen
Was ist EternalBlue (CVE-2017-0144)?
Von der NSA entwickelter Exploit für eine Remote-Code-Execution-Schwachstelle in Microsofts SMBv1 (2017), durch Shadow Brokers geleakt und von WannaCry und NotPetya genutzt. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.
Was bedeutet EternalBlue (CVE-2017-0144)?
Von der NSA entwickelter Exploit für eine Remote-Code-Execution-Schwachstelle in Microsofts SMBv1 (2017), durch Shadow Brokers geleakt und von WannaCry und NotPetya genutzt.
Wie schützt man sich gegen EternalBlue (CVE-2017-0144)?
Schutzmaßnahmen gegen EternalBlue (CVE-2017-0144) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für EternalBlue (CVE-2017-0144)?
Übliche alternative Bezeichnungen: MS17-010, CVE-2017-0144.