EternalBlue
EternalBlue, a volte stilizzato in ETERNALBLUE,[1] è il nome di un exploit sviluppato dalla National Security Agency (NSA). Il mondo informatico è venuto a conoscenza dell'esistenza di questo exploit dopo che il gruppo di hacker chiamato The Shadow Brokers lo ha illegalmente diffuso il 14 aprile 2017. Il 12 maggio 2017, l'exploit è stato poi sfruttato per realizzare un attacco informatico attraverso il ransomware WannaCry, che, tramite questo exploit, sfrutta una vulnerabilità del protocollo Server Message Block (SMB).[1][2][3][4][5]
Dettagli
modificaEternalBlue sfrutta una vulnerabilità nell'implementazione del protocollo Server Message Block (SMB) presente in alcuni sistemi operativi Microsoft. Questa vulnerabilità è oggi elencata come la numero CVE-2017-0144 nel catalogo Common Vulnerabilities and Exposures (CVE) (un dizionario di vulnerabilità e falle di sicurezza pubblicamente note). Tale vulnerabilità esiste poiché la versione 1 del protocollo SMB (SMBv1) presente in diverse versioni del sistema operativo Microsoft Windows accetta pacchetti di dati opportunamente prodotti inviati alla macchina da chi sta eseguendo un attacco remoto, permettendo a tali utenti remoti di eseguire codice arbitrario sulla macchina bersaglio dell'attacco.[6]
Il servizio di aggiornamento standard per Windows consente di risolvere questo problema attraverso la patch di sicurezza rilasciata da Microsoft in data 14 marzo 2017 e chiamata MS17-010, usufruibile per tutte le versioni del sistema operativo supportate a quella data, ossia Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, e Windows Server 2016.[7][8]
Purtroppo molti utilizzatori delle suddette versioni del sistema operativo non avevano ancora installato la patch MS17-010 quando, meno di due mesi più tardi, il 12 maggio 2017, un gruppo di hacker non ancora noto ha portato a termine un attacco con il ransomware WannaCry, che usa proprio le possibilità date dall'exploit EternalBlue per diffondersi.[9][10][11]
Il 13 maggio 2017, un giorno dopo l'attacco, Microsoft ha inusualmente fornito, tramite un download dal Microsoft Update Catalog, un aggiornamento di sicurezza volto a eliminare la sopraccitata vulnerabilità anche da versioni di Microsoft Windows non più supportate, ossia Windows XP, Windows 8, e Windows Server 2003.[12][13]
Note
modifica- ^ a b NSA-leaking Shadow Brokers just dumped its most damaging release yet, su arstechnica.com, Ars Technica. URL consultato il 17 maggio 2017.
- ^ Thomas Fox-Brewster, An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak, Forbes. URL consultato il 17 maggio 2017.
- ^ An NSA-derived ransomware worm is shutting down computers worldwide, su arstechnica.com, Ars Technica. URL consultato il 17 maggio 2017.
- ^ Agamoni Ghosh, 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools, International Business Times UK, 9 aprile 2017. URL consultato il 17 maggio 2017.
- ^ 'NSA malware' released by Shadow Brokers hacker group, BBC News, 10 aprile 2017. URL consultato il 17 maggio 2017.
- ^ Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN, su support.eset.com, ESET North America. URL consultato il 17 maggio 2017.
- ^ Catalin Cimpanu, Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r, su bleepingcomputer.com, Bleeping Computer, 13 maggio 2017. URL consultato il 17 maggio 2017.
- ^ Windows Vista Lifecycle Policy, su support.microsoft.com, Microsoft. URL consultato il 17 maggio 2017.
- ^ Microsoft Security Bulletin MS17-010 — Critical, su technet.microsoft.com. URL consultato il 17 maggio 2017.
- ^ Lily Hay Newman, The Ransomware Meltdown Experts Warned About Is Here, su wired.com. URL consultato il 17 maggio 2017.
- ^ Wanna Decryptor: The NSA-derived ransomware worm shutting down computers worldwide, Ars Technica UK. URL consultato il 17 maggio 2017.
- ^ Surur, Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003, 13 maggio 2017. URL consultato il 17 maggio 2017.
- ^ MSRC Team, Customer Guidance for WannaCrypt attacks, su blogs.technet.microsoft.com, Microsoft. URL consultato il 17 maggio 2017.