EternalBlue (CVE-2017-0144)
Что такое EternalBlue (CVE-2017-0144)?
EternalBlue (CVE-2017-0144)Разработанный АНБ эксплойт для уязвимости удалённого выполнения кода в SMBv1 Microsoft 2017 года, опубликованный Shadow Brokers и использованный WannaCry и NotPetya.
EternalBlue (CVE-2017-0144) — уязвимость удалённого выполнения кода в реализации SMBv1 Microsoft, позволявшая неаутентифицированному атакующему в сети выполнить код в режиме ядра на большинстве поддерживавшихся тогда Windows. Этот эксплойт был средством АНБ/Equation Group, опубликованным группой Shadow Brokers 14 апреля 2017 года вместе с фреймворком FuzzBunch и ядерным бэкдором DoublePulsar, который операторы обычно устанавливали в качестве полезной нагрузки на этапе постэксплуатации.
С технической точки зрения EternalBlue злоупотребляет тем, как srv.sys обрабатывает SMBv1-транзакции чрезмерного размера: путаница типов (type confusion) в том, как сервер приводит размер списка расширенных атрибутов (FEA), вызывает переполнение буфера в невыгружаемом пуле ядра (non-paged pool). Атакующий «груммингует» кучу ядра SMB-пакетами так, чтобы переполнение пришлось вплотную к буферу SRVNET, что в итоге перенаправляет выполнение на контролируемый атакующим shellcode. Microsoft выпустила MS17-010 14 марта 2017 года — за месяц до утечки — и позднее сделала редкий шаг, выпустив патч для снятого с поддержки Windows XP, когда WannaCry начал распространяться.
Уязвимость стала движком распространения WannaCry (12 мая 2017 года) и NotPetya (27 июня 2017 года); NotPetya — вайпер под видом программы-вымогателя — нанёс ущерб более чем на 10 миллиардов долларов США, парализовав Maersk, Merck и Mondelez. Спустя годы непропатченные узлы с SMBv1 по-прежнему компрометируются. Меры защиты: установить MS17-010, полностью отключить SMBv1, блокировать TCP/445 на периметре и сегментировать плоские сети.
flowchart TD
A[Утечка Shadow Brokers<br/>апрель 2017] --> B[Эксплойт EternalBlue<br/>CVE-2017-0144]
B --> C[Сформированная SMBv1-транзакция чрезмерного размера]
C --> D[Путаница типов + переполнение non-paged pool в srv.sys]
D --> E[Выполнение кода в ядре]
E --> F[Бэкдор DoublePulsar]
F --> G{Полезная нагрузка}
G --> H[Программа-вымогатель WannaCry]
G --> I[Вайпер NotPetya]
H --> J[Распространяется на следующий узел через TCP/445]
I --> J
J --> C● Примеры
- 01
WannaCry распространялся как червь по корпоративным Windows-сетям через EternalBlue.
- 02
NotPetya уничтожал данные после распространения внутри организаций при помощи EternalBlue.
● Частые вопросы
Что такое EternalBlue (CVE-2017-0144)?
Разработанный АНБ эксплойт для уязвимости удалённого выполнения кода в SMBv1 Microsoft 2017 года, опубликованный Shadow Brokers и использованный WannaCry и NotPetya. Относится к категории Уязвимости в кибербезопасности.
Что означает EternalBlue (CVE-2017-0144)?
Разработанный АНБ эксплойт для уязвимости удалённого выполнения кода в SMBv1 Microsoft 2017 года, опубликованный Shadow Brokers и использованный WannaCry и NotPetya.
Как защититься от EternalBlue (CVE-2017-0144)?
Защита от EternalBlue (CVE-2017-0144) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия EternalBlue (CVE-2017-0144)?
Распространённые альтернативные названия: MS17-010, CVE-2017-0144.