Noll
EternalBlue helt enkelt vägrar att gå bort och okorrigerad, olicensierade operativsystem är en del av problemet.
Microsoft Windows EternalBlue utnyttja släpptes för allmänheten år 2017, som en del av en läckt cache av övervakningsverktyg som ägs av den AMERIKANSKA National Security Agency (NSA)’s Ekvation Grupp hacking team.
Följande uppgiftslämnare och tidigare NSA-entreprenören förstörda s utlämnande av byråns massövervakning aktiviteter, hackare som kallar sig för Skuggan Mäklare äventyras NSA system och läckt ut verktygen.
Bland utnyttja cache var utnyttjar och zero-day sårbarheter som accepteras NSA att kompromissa Windows-och Linux-system, nätverk, utrustning, brandväggar, och mer.
Säkerhet forskare och berörda leverantörer genast till verket lapp som läckt sårbarheter, och samtidigt EternalBlue är en säkerhetsbrist som var löst, föråldrade och okorrigerad system som fortfarande tillåter att utnyttja för att blomstra i händerna på hot aktörer.
Den EternalBlue sårbarhet, CVE-2017-0144, mål Microsoft Windows Server Message Block (SMB) – protokollet och gör det möjligt för angripare utifrån att exekvera godtycklig kod. En rättelse publicerades i Mars 2017 av Microsoft.
Felet har orsakat elände världen över sedan den släpptes och användes för att infektera system med ransomware under den ökända WannaCry globala utbrott förra året. Det BRITTISKA National Health Service (NHS), FedEx, Deutsche Bahn, Renault, och bankerna var bland målen för kampanjen som äventyras ett beräknat till 230 000 St.
Se även: Windows support bluff använder onda markören attack för att kapa Google Chrome sessioner
EternalBlue användes också i en ransomware kampanj som följde snart efter. Den cyberattack sprida Petya ransomware från Ukraina till länder i hela världen.
Den kritiska fel har lappat men dess arv lever vidare.
I juni förra året, till exempel utnyttja var integrerade i exploit kit för att göra Trojaner såsom Nitol och Gh0st RÅTTA mer effektiv.
Säkerhet forskare från Avira har varit att följa den sårbarhet och ett nytt angrepp priser över hela världen. I ett blogginlägg förra veckan, laget sa att unpatched Datorer är en viktig anledning EternalBlue vägrar att dö, med påverkade enheter “för att fastna i en ändlös infektion cykel med nya infektioner inträffar på kernel-nivå som föregående tas bort.”
Avira säger att utnyttja är att hitta sin väg till spruckna och pirate versioner av Microsoft Windows som är verksamma på den gamla SMB1-protokollet, som är utsatta för EternalBlue.
CNET: AT&T låter NSA dölja och surveil i vanlig syn, Avlyssna rapporter
“Vi höll på att utforska orsakerna bakom ett antal maskiner som har upprepade infektioner, säger Mikel Echevarria-Lizarraga, senior virus analytiker i Avira Skydd Lab. “Vi har upptäckt att många av dessa seriellt infekterade maskiner var igång aktivering sprickor vilket innebär att de inte kan eller inte vill att Windows update och installera uppdateringar. Det innebär också att de inte tog emot emergency patch från Microsoft för denna sårbarhet.”
Avira har avslöjat ca 300.000 system som påverkas av EternalBlue. Indonesien är de som drabbas hårdast, följt av Taiwan, Vietnam, Thailand och Egypten, bland andra.
Det är inte bara Windows-maskiner som kör olicensierad programvara, men det är ett problem — hot aktörer i hela världen är också att utnyttja EternalBlue för dold cryptojacking verksamhet.
TechRepublic: Här är varför NSA att bara ta bort alla samtal och texter som det samlas in eftersom 2015
Cryptojacking är användningen av datorkraft utan tillstånd av användarna för att gruvdriften cryptocurrencies inklusive Ethereum (ETH) och Monero (XMR).
Ett vanligt sätt att genomföra cryptojacking är genom användning av hemliga gruv-skript, till exempel Coinhive, via webbläsare och webbsida besök. Men, malware kunna kompromissa Datorer är också används för — och EternalBlue utnyttja har blivit ett vapen av val.
I februari, forskare upptäckte Smominru miner botnet var att använda utnyttja mitt för Monero, bockning 526,000 noder — annars känd som infekterade system — till dess kommer på sin spets, nät operatörer uppskattningsvis $3,6 m från olaglig gruvbrytning.
Det var bara en månad senare att en annan cryptojacking system, RedisWannaMine, har utnyttjas EternalBlue att kompromissa Windows-Servrar för samma ändamål.
Tyvärr, EternalBlue är fortfarande mycket aktiv i cryptojacking utrymme. Enligt ny forskning från Cybereason, ett nytt utbrott av Wannamine, baserat på EternalBlue, har visat att attacken är fortfarande mycket aktiv ett år efter offentliggörandet.
“Wannamine är inte en ny attack,” forskarna säger. “Det utnyttjar EternalBlue sårbarheter som användes för att utlösa förödelse runt om i världen i nästan ett och ett halvt år sedan. Men mer än ett år senare, har vi fortfarande att se organisationer som drabbats hårt av attacker baserade på dessa bedrifter.”
Wannamine är inte sofistikerad och dess komponenter är tillverkade av kopiera och klistra in koden fått från förråd som GitHub. Ett antal av ip-adresser som är associerade med Wannamine servrar är fortfarande aktiv ett år efter att detta har påtalats att associera webbhotell.
Även om kodningen är rå, underlåtenhet att plåstret har orsakat ännu ett utbrott — och om att enskilda och företag tar ansvar för att skydda sig själva, EternalBlue kommer att fortsätta att vara ett effektivt verktyg som utnyttjas av hot aktörer.
“Tills organisationer patch och uppdatera sina datorer, att de kommer att fortsätta att se angripare använder dessa bedrifter av en enkel anledning: de leder till framgångsrika kampanjer” Cybereason läggas till. “Det finns ingen anledning för säkerhet analytiker att fortfarande vara hantering av incidenter som involverar angripare att utnyttja EternalBlue. Och det finns ingen anledning till varför dessa utnyttjar bör fortfarande ouppdaterad.”
Tidigare och relaterade täckning
Nordkorea hävdar hacker som ansvarar för att WannaCry utbrott finns inte Två miljarder enheter fortfarande utsatta för Blueborne brister ett år efter upptäckten GAW Gruvarbetare VD tjänar fängelse tid för att lura kunder på $9 miljoner
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0