EternalBlue (CVE-2017-0144)
Qu'est-ce que EternalBlue (CVE-2017-0144) ?
EternalBlue (CVE-2017-0144)Exploit développé par la NSA pour une vulnérabilité d'exécution de code à distance de 2017 dans SMBv1 de Microsoft, divulgué par Shadow Brokers et utilisé par WannaCry et NotPetya.
EternalBlue (CVE-2017-0144) est une vulnérabilité d'exécution de code à distance dans l'implémentation SMBv1 de Microsoft permettant à un attaquant non authentifié sur le réseau d'exécuter du code au niveau du kernel sur la plupart des Windows alors pris en charge. L'exploit était une capacité de la NSA/Equation Group, divulguée publiquement par les Shadow Brokers le 14 avril 2017, aux côtés du framework FuzzBunch et de la porte dérobée kernel DoublePulsar que les opérateurs installaient généralement comme charge utile de post-exploitation.
Sur le plan technique, EternalBlue abuse de la manière dont srv.sys traite les transactions SMBv1 surdimensionnées : une confusion de types dans la façon dont le serveur convertit la taille d'une liste d'attributs étendus (FEA) provoque un débordement de tampon dans le pool kernel non paginé. L'attaquant prépare le tas du kernel à l'aide de paquets SMB afin que le débordement se produise juste à côté d'un tampon SRVNET, redirigeant finalement l'exécution vers un shellcode contrôlé par l'attaquant. Microsoft a publié MS17-010 le 14 mars 2017 — un mois avant la fuite — puis a pris la mesure rare de corriger Windows XP, pourtant hors support, lorsque WannaCry a commencé à se propager.
La faille est devenue le moteur de propagation de WannaCry (12 mai 2017) et de NotPetya (27 juin 2017) ; NotPetya, un wiper déguisé en rançongiciel, a causé plus de 10 milliards de dollars de dégâts, paralysant Maersk, Merck et Mondelez. Des années plus tard, des hôtes SMBv1 non corrigés continuent d'être compromis. Défenses : appliquer MS17-010, désactiver entièrement SMBv1, bloquer TCP/445 au périmètre et segmenter les réseaux plats.
flowchart TD
A[Fuite des Shadow Brokers<br/>avril 2017] --> B[Exploit EternalBlue<br/>CVE-2017-0144]
B --> C[Transaction SMBv1 surdimensionnée forgée]
C --> D[Confusion de types + débordement du pool non paginé dans srv.sys]
D --> E[Exécution de code dans le kernel]
E --> F[Porte dérobée DoublePulsar]
F --> G{Charge utile}
G --> H[Rançongiciel WannaCry]
G --> I[Wiper NotPetya]
H --> J[Se propage à l'hôte suivant via TCP/445]
I --> J
J --> C● Exemples
- 01
WannaCry se propageant comme un ver sur des réseaux Windows d'entreprise via EternalBlue.
- 02
NotPetya effaçant des données après s'être diffusé via EternalBlue au sein des organisations.
● Questions fréquentes
Qu'est-ce que EternalBlue (CVE-2017-0144) ?
Exploit développé par la NSA pour une vulnérabilité d'exécution de code à distance de 2017 dans SMBv1 de Microsoft, divulgué par Shadow Brokers et utilisé par WannaCry et NotPetya. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie EternalBlue (CVE-2017-0144) ?
Exploit développé par la NSA pour une vulnérabilité d'exécution de code à distance de 2017 dans SMBv1 de Microsoft, divulgué par Shadow Brokers et utilisé par WannaCry et NotPetya.
Comment se défendre contre EternalBlue (CVE-2017-0144) ?
Les défenses contre EternalBlue (CVE-2017-0144) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de EternalBlue (CVE-2017-0144) ?
Noms alternatifs courants : MS17-010, CVE-2017-0144.