Nul
EternalBlue gewoon weigert om weg te gaan en niet gecorrigeerde, licentie besturingssystemen zijn deel van het probleem.
De Microsoft Windows EternalBlue exploit is uitgebracht aan het publiek in 2017 als onderdeel van een gelekte cache van toezicht op hulpmiddelen die in eigendom van het AMERIKAANSE National Security Agency (NSA)’s Vergelijking van de Groep hacking team.
Volgende klokkenluider en voormalig NSA aannemer Edward Snowden de openbaarmaking van het agentschap mass surveillance-activiteiten, hackers die zich the Shadow Makelaars aangetast NSA systemen en lekte de toolset.
Onder de exploit cache werden exploits en zero-day kwetsbaarheden waardoor de NSA aanvaller, een Windows-en Linux-systemen, netwerk apparatuur, firewalls, en meer.
Beveiliging onderzoekers en betrokken leveranciers meteen aan de slag met het patchen van de gelekte kwetsbaarheden, en terwijl EternalBlue is een lek dat werd opgelost, verouderd en niet gecorrigeerde systemen nog steeds toestaan dat de exploit te bloeien in de handen van dreigingen.
De EternalBlue kwetsbaarheid CVE-2017-0144, richt zich op de Microsoft Windows Server Message Block (SMB) protocol en biedt aanvallers de mogelijkheid tot het uitvoeren van willekeurige code. Een oplossing werd uitgegeven in Maart 2017 door Microsoft.
De fout heeft veroorzaakt ellende over de hele wereld sinds de release en werd gebruikt om systemen te infecteren met ransomware tijdens de beruchte WannaCry wereldwijde uitbraak van vorig jaar. De BRITSE National Health Service (NHS), FedEx, Deutsche Bahn, Renault, en de banken waren onder de doelstellingen van de campagne die gedrang komt naar schatting 230.000 pixels Pc ‘ s.
Zie ook: Windows-ondersteuning scam gebruikt kwaad cursor aanval te kapen Google Chrome sessies
EternalBlue werd ook gebruikt in een ransomware campagne die volgden snel daarna. De cyberaanval verspreiding van de Petya ransomware van Oekraïne naar landen over de hele wereld.
De cruciale fout heeft gepatched, maar zijn erfenis leeft voort.
In juni vorig jaar, bijvoorbeeld, de exploit werd geïntegreerd in exploit kits te maken van Trojaanse paarden, zoals Nitol en Gh0st RAT meer effectief.
Beveiligingsonderzoekers van Avira zijn het bijhouden van de kwetsbaarheid en herinfectie tarieven over de hele wereld. In een blogpost van vorige week, het team gezegd dat ongewijzigde Pc ‘ s zijn een belangrijke reden EternalBlue zal niet sterven, met beïnvloed apparaten “vast komen te zitten in een eindeloze infectie cyclus met nieuwe infecties in de kernel niveau als de voorgaande zijn verwijderd.”
Avira zegt dat de exploit is het vinden van zijn weg naar gekraakt en piraat versies van Microsoft Windows die actief zijn op de oude SMB1 protocol, dat kwetsbaar is voor EternalBlue.
CNET: AT&T laat NSA verbergen en surveil in het zicht, Het Onderscheppen rapporten
“We waren het onderzoeken van de redenen van een aantal machines met herhaalde infecties,” zei Mikel Echevarria-Lizarraga, senior virus analyst op het Avira Protection Lab. “We hebben geconstateerd dat veel van deze serie besmette machines werden uitgevoerd activering scheuren, wat betekent dat ze niet kunnen of niet willen updaten Windows updates installeren. Het betekent ook dat ze het niet ontvangen van de nood patch van Microsoft voor deze kwetsbaarheid.”
Avira heeft blootgelegd ongeveer 300.000 systemen die worden beïnvloed door EternalBlue. Indonesië is het hardst getroffen, gevolgd door Taiwan, Vietnam, Thailand en Egypte, onder anderen.
Het is niet alleen Windows-computers die zijn uitgevoerd illegale software, maar dat is een probleem — dreiging actoren wereldwijd zijn ook gebruik te maken van EternalBlue voor geheime cryptojacking activiteiten.
TechRepublic: Hier is de reden waarom de NSA net verwijderd van alle van de gesprekken en teksten verzameld sinds 2015
Cryptojacking is het gebruik van de rekenkracht zonder de toestemming van de gebruikers voor het doel van de mijnbouw cryptocurrencies inclusief Ethereum (ETH) en Monero (XMR).
Een veel voorkomende manier is om het gedrag van cryptojacking is door middel van het gebruik van illegale mijnbouw scripts, zoals Coinhive, via browsers en web pagina bezoeken. Echter, de malware in staat om compromissen te sluiten Pc ‘ s wordt ook gebruikt — en de EternalBlue exploiteren is uitgegroeid tot een wapen van keuze.
In februari ontdekten onderzoekers van de Smominru mijnwerker botnet was met het exploiteren van mijnen voor Monero, buigen 526,000 knooppunten, ook bekend als de geïnfecteerde systemen — aan haar zal op zijn hoogtepunt, waarbij de exploitanten van een geschatte $3,6 m van het frauduleuze mijnbouw.
Het was slechts een maand later dat een andere cryptojacking regeling, RedisWannaMine, werd gevonden te hebben aangewend EternalBlue aanvaller, een Windows-Servers voor hetzelfde doel.
Helaas, EternalBlue is nog steeds zeer actief in de cryptojacking ruimte. Volgens recent onderzoek van Cybereason, een nieuwe uitbraak van Wannamine, gebaseerd op EternalBlue, heeft aangetoond dat de aanval is nog steeds zeer actief een jaar na de bekendmaking.
“Wannamine is niet een nieuwe aanval,” zeggen de onderzoekers. “Het maakt gebruik van de EternalBlue kwetsbaarheden die gebruikt werden om de ravage aanrichten over de hele wereld bijna een jaar en een half geleden. Maar meer dan een jaar later, we zijn nog steeds organisaties sterk beïnvloed door aanvallen op basis van deze exploits.”
Wannamine is niet verfijnd en de onderdelen zijn gemaakt van kopieer-en-plak de code gekregen van repositories zoals GitHub. Een aantal ip ‘ s geassocieerd met Wannamine servers zijn nog steeds actief, een jaar na de gemeld te koppelen hosting providers.
Hoewel de codering is een ruwe, niet-patch heeft veroorzaakt nog een ander uitbraak — en, tenzij particulieren en bedrijven de verantwoordelijkheid nemen voor de bescherming van zichzelf, EternalBlue blijven-een effectief instrument benut door dreigingen.
“Tot organisaties patchen en updaten van hun computers, ze zullen blijven om te zien aanvallers gebruiken deze exploits om een simpele reden: ze leiden tot een succesvolle campagnes,” Cybereason toegevoegd. “Er is geen reden voor beveiliging analisten nog steeds incidenten waarbij aanvallers benutten EternalBlue. En er is geen reden waarom deze exploits moet blijven ongepatchte.”
Vorige en aanverwante dekking
Noord-Korea zegt de hacker die verantwoordelijk is voor WannaCry uitbraak niet bestaan Twee miljard apparaten nog steeds kwetsbaar voor Blueborne gebreken een jaar na de ontdekking GAW Mijnwerkers CEO verdient gevangenis tijd voor het oplichten van klanten van $9 miljoen
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0