Nul
EternalBlue simpelthen nægter at gå væk, og unpatched, licensfri operativsystemer er en del af problemet.
Microsoft Windows EternalBlue udnytte blev frigivet til offentligheden i 2017 som en del af en lækket cache af overvågningsværktøjer, der er ejet af det AMERIKANSKE National Security Agency (NSA)’s Ligning Gruppe hacking team.
Følgende whistleblower og tidligere NSA-entreprenør Edward Snowden ‘ s offentliggørelse af agenturets masseovervågning aktiviteter, hackere, som kalder sig selv Skyggen Mæglere kompromitteret NSA-systemer og lækket værktøjskasse.
Blandt de udnytter cachen var udnytter og zero-day-sårbarheder, som må NSA til at gå på kompromis Windows-og Linux-systemer, netværksudstyr, firewalls og meget mere.
Sikkerhed forskere og berørte leverandører straks at lappe de lækkede sårbarheder, og samtidig EternalBlue er et sikkerhedshul, som blev løst, forældede og unpatched systemer stadig tillade udnytte til at blomstre i hænderne på truslen aktører.
Den EternalBlue sårbarhed, CVE-2017-0144, mål Microsoft Windows Server Message Block (SMB) protokol og giver mulighed for fjernangribere at udføre vilkårlig kode. En rettelse blev udstedt i Marts 2017 af Microsoft.
Fejlen er forårsaget elendighed på verdensplan siden dens udgivelse, og blev brugt til at inficere systemer med ransomware under den berygtede WannaCry globale udbrud sidste år. Den BRITISKE National Health Service (NHS), FedEx, Deutsche Bahn, Renault, og bankerne var blandt de mål, for på den kampagne, der ødelagde en anslået 230,000-Pc ‘ er.
Se også: Windows support fidus bruger onde markøren angreb for at kapre Google Chrome sessioner
EternalBlue blev også brugt i en ny kampagne, der fulgte snart efter. Den cyberattack sprede Petya ransomware fra Ukraine til at lande på verdensplan.
Den kritiske fejl er blevet lappet, men dens arv lever videre.
I juni sidste år, for eksempel, den udnyttelse, der var integreret i exploit kits til at gøre Trojans såsom Nitol og Gh0st ROTTE mere effektiv.
Sikkerhed forskere fra Avira har været at spore sårbarhed og reinfektion priser over hele verden. I et blog-indlæg i sidste uge, at holdet sagde, at ikke-opdateret Pc ‘ er er en væsentlig grund til EternalBlue nægter at dø, med påvirket enheder “at sidde fast i en endeløs infektion cyklus med nye infektioner, som opstår på kerne niveau, som de tidligere er fjernet.”
Avira siger, at udnytte er at finde sin måde at revnet og pirat versioner af Microsoft Windows, som er aktive på den gamle SMB1 protokol, som er sårbare over for EternalBlue.
CNET: AT&T lader NSA skjule og overvåge i et almindeligt syn, Aflytte rapporter
“Vi var ved at forske i de årsager, der ligger bag en række maskiner, der har gentagne infektioner,” siger Mikel Echevarria-Lizarraga, senior virus-analytiker i Avira Beskyttelse Lab. “Vi har konstateret, at mange af disse serielt inficerede maskiner kører aktivering revner, som betyder, at de ikke kan eller ikke ønsker at opdatere Windows og installere opdateringer. Det betyder også, at de ikke modtage nødhjælp patch fra Microsoft for denne svaghed.”
Avira har afdækket nogenlunde 300,000 systemer, som er påvirket af EternalBlue. Indonesien er hårdest ramt, efterfulgt af Taiwan, Vietnam, Thailand og Egypten, blandt andre.
Det er ikke kun Windows maskiner, som kører, software uden licens, men det er et problem — trussel aktører over hele verden er også at udnytte EternalBlue for hemmelige cryptojacking operationer.
TechRepublic: Her er grunden til, at NSA har lige slettet alle de opkald og sms ‘ er det, der er indsamlet efter 2015
Cryptojacking er brugen af computerkraft uden samtykke fra brugerne med henblik på minedrift lad os starte herunder Ethereum (ETH) og Monero (XMR).
En almindelig måde at foretage cryptojacking er gennem brug af skjult minedrift scripts, som Coinhive, via browsere og web side besøg. Men, malware i stand til at gå på kompromis Pc ‘ er er også brugt — og EternalBlue udnytte blevet et våben af valg.
I februar, forskere opdaget Smominru miner botnet var ved hjælp af at udnytte til mine Monero, bøjning 526,000 noder-ellers kendt som inficerede systemer — til sin vilje på sit højeste, netting dets operatører en anslået $3,6 m fra svigagtig minedrift.
Det var kun en måned senere, at en anden cryptojacking ordning, RedisWannaMine, blev anset for at have udnyttet EternalBlue til at gå på kompromis Windows-Servere til samme formål.
Desværre, EternalBlue er stadig meget aktiv i cryptojacking plads. Ifølge den seneste forskning fra Cybereason, et nyt udbrud af Wannamine, baseret på EternalBlue, har vist, at angrebet er stadig meget aktive et år efter offentliggørelsen.
“Wannamine er ikke et nyt angreb,” siger forskerne. “Det udnytter de EternalBlue sårbarheder, der blev brugt til at skabe ravage i hele verden for næsten et år og et halvt siden. Men mere end et år senere, er vi stadig at se organisationer hårdt ramt af angreb, der er baseret på disse bedrifter.”
Wannamine er ikke sofistikerede og dens komponenter er lavet af kopi og indsætte koden erfaringer fra depoter, som GitHub. En række af IPs, der er forbundet med Wannamine servere er stadig aktive et år efter at være blevet rapporteret til at knytte hosting-udbydere.
Selv om kodning er rå, manglende patch har forårsaget endnu et udbrud — og medmindre enkeltpersoner og virksomheder tager ansvar for at beskytte sig selv, EternalBlue vil fortsætte med at være et effektivt redskab, der udnyttes ved trussel aktører.
“Indtil organisationer, patch og opdatering deres computere, vil de fortsætte med at se angribere bruge disse udnyttelser af en simpel grund: de fører til vellykkede kampagner,” Cybereason tilføjet. “Der er ingen grund til sikkerhed analytikere til at stadig være håndtering af hændelser, der involverer angribere udnytte EternalBlue. Og der er ingen grund til, hvorfor disse udnytter bør forblive uændrede.”
Tidligere og relaterede dækning
Nordkorea hævder hacker ansvarlig for WannaCry udbrud findes ikke To milliarder enheder stadig er sårbare over for Blueborne fejl et år efter opdagelsen GAW Minearbejdere CEO tjener fængsel tid til at bedrage kunder $9 millioner
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0