Zero
EternalBlue semplicemente si rifiuta di andare via e senza patch, senza licenza sistemi operativi sono parte del problema.
Microsoft Windows EternalBlue exploit è stato rilasciato al pubblico nel 2017 come parte di una fuoriuscita di cache di strumenti di sorveglianza di proprietà della National Security Agency (NSA)’s di Equazione Gruppo di hacking team.
A seguito di segnalazione e l’ex appaltatore NSA Edward Snowden la divulgazione, da parte dell’agenzia di massa dell’attività di vigilanza, gli hacker si fanno chiamare the Shadow Broker compromesso NSA sistemi e trapelato il set di strumenti.
Tra l’exploit di cache sono stati exploit e vulnerabilità zero-day che ha permesso alla NSA di compromettere i sistemi Windows e Linux, apparecchiature di rete, firewall, e di più.
I ricercatori di sicurezza e interessato fornitori immediatamente i lavori di rammendo perdita di vulnerabilità, e mentre EternalBlue è una falla di sicurezza che è stato risolto, obsoleti e privi di patch per i sistemi di permettere di sfruttare a fiorire nelle mani di minaccia attori.
Il EternalBlue vulnerabilità CVE-2017-0144, destinazioni in Microsoft Windows Server Message Block (SMB) protocollo e consente a un utente malintenzionato di eseguire codice arbitrario. Una correzione è stata rilasciata nel Marzo 2017, da parte di Microsoft.
Il bug è causato miseria in tutto il mondo fin dal suo rilascio ed è stato utilizzato per infettare i sistemi con ransomware durante il famigerato WannaCry epidemia globale lo scorso anno. Il BRITANNICO National Health Service (NHS), FedEx, Deutsche Bahn, Renault, e le banche sono stati tra gli obiettivi della campagna che ha compromesso una stima di circa 230.000 Pc.
Vedi anche: supporto di Windows truffa usi male l’attacco del cursore di dirottare Google Chrome sessioni
EternalBlue è stato utilizzato anche in un ransomware campagna che seguì subito dopo. L’attacco diffondere la Petya ransomware da Ucraina a paesi in tutto il mondo.
Il difetto fondamentale è stato patchato, ma la sua eredità vive.
Nel giugno dello scorso anno, per esempio, l’exploit è stato integrato nel kit di exploit per rendere Trojan come Nitol e Gh0st RATTO più efficace.
I ricercatori di sicurezza di Avira sono state seguendo la vulnerabilità e la reinfezione costo tutto il mondo. In un post sul blog, la settimana scorsa, la squadra ha detto che senza patch Pc sono una delle ragioni principali EternalBlue si rifiuta di morire, con impatto dispositivi “di rimanere bloccati in un infinito ciclo di infezione con nuove infezioni che si verificano a livello del kernel, come quelli precedenti, sono stati rimossi.”
Avira dice che l’exploit è trovare il suo modo di cracking e pirata versioni di Microsoft Windows, che sono operativo sul vecchio protocollo di SMB1, che è vulnerabile a EternalBlue.
CNET: AT&T permette NSA nascondere e sorvegliare in bella vista, L’Intercetta report
“Siamo stati a ricercare le ragioni di un certo numero di macchine di ripetute infezioni”, ha detto Mikel Card-Lizarraga, senior, analista di virus da Avira Protection Lab. “Abbiamo scoperto che molti di questi serialmente computer infetti che sono stati in esecuzione di attivazione crepe che significa che si può o non si vuole aggiornare Windows e installare gli aggiornamenti. Significa anche che non ha ricevuto l’emergenza patch da Microsoft per questa vulnerabilità.”
Avira ha scoperto circa 300.000 sistemi che sono colpiti da EternalBlue. L’Indonesia è la più colpita, seguita da Taiwan, Vietnam, Thailandia, Egitto, tra gli altri.
Non è solo macchine Windows che eseguono il software privo di licenza, tuttavia, che è un problema — minaccia attori di tutto il mondo stanno utilizzando anche EternalBlue per covert cryptojacking operazioni.
TechRepublic: Ecco perché la NSA appena cancellato tutte le chiamate e testi raccolti a partire dal 2015
Cryptojacking è l’uso di potenza di calcolo, senza il consenso degli utenti per l’estrazione mineraria cryptocurrencies tra Ethereum (ETH) e Monero (XMR).
Un modo comune per condurre cryptojacking è attraverso l’uso di covert mining script, come Coinhive, attraverso i browser web e le pagine visitate. Tuttavia, il malware in grado di compromettere Pc è utilizzato anche — e il EternalBlue exploit è diventata un’arma di scelta.
Nel mese di febbraio, i ricercatori hanno scoperto la Smominru minatore botnet utilizzando l’exploit per la mia per Monero, piegatura 526,000 nodi — altrimenti noto come sistemi infetti — per sua volontà al suo apice, la compensazione suoi operatori un importo stimato di $3,6 m dal fraudolento di data mining.
Era solo un mese dopo che un altro cryptojacking schema, RedisWannaMine, è stato trovato per avere sfruttato EternalBlue al compromesso di Windows Server per lo stesso scopo.
Purtroppo, EternalBlue è ancora molto attiva nel cryptojacking spazio. Secondo una recente ricerca da Cybereason, un nuovo focolaio di Wannamine, basato su EternalBlue, ha dimostrato che l’attacco è ancora molto attivo, un anno dopo la comunicazione.
“Wannamine non è un nuovo attacco,” dicono i ricercatori. “Che sfrutta l’EternalBlue vulnerabilità che sono stati utilizzati per provocare il caos in tutto il mondo quasi un anno e mezzo fa. Ma più di un anno dopo, stiamo ancora vedendo organizzazioni gravemente colpiti da attacchi in base a questi exploit.”
Wannamine non è sofisticato e i suoi componenti sono fatti di copia-e-incolla il codice guadagnato dai repository come GitHub. Un certo numero di indirizzi ip associati con Wannamine i server sono ancora attivi un anno dopo essere stato segnalato per associare i fornitori di hosting.
Anche se la codifica è grezzo, il mancato patch ha causato ancora un altro scoppio — e, a meno che gli individui e le aziende la responsabilità di proteggere se stessi, EternalBlue continuerà a rimanere un efficace strumento utilizzato da minaccia attori.
“Fino a quando le organizzazioni patch e aggiornare i loro computer, continuano a vedere gli aggressori utilizzano questi exploit per un semplice motivo: non portare a campagne di successo,” Cybereason aggiunto. “Non c’è alcuna ragione per cui gli analisti di sicurezza ancora essere per la gestione degli incidenti che coinvolgono gli aggressori sfruttando EternalBlue. E non c’è motivo di queste imprese dovrebbero rimanere senza patch.”
Precedente e relativa copertura
La Corea del nord sostiene hacker responsabile WannaCry scoppio non esistono Due miliardi di dispositivi ancora vulnerabile a Blueborne difetti di un anno dopo la scoperta GAW Minatori amministratore delegato guadagna tempo in prigione per frodare i clienti di 9 milioni di dollari
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0