EternalBlue

Da Wikipedia, l'enciclopedia libera.

EternalBlue, a volte stilizzato in ETERNALBLUE,[1] è il nome di un exploit che si ritiene sia stato scritto dalla National Security Agency (NSA). Il mondo informatico è venuto a conoscenza dell'esistenza di questo exploit dopo che il gruppo di hacker chiamato The Shadow Brokers lo ha illegalmente diffuso il 14 aprile 2017. Il 12 maggio 2017, l'exploit è stato poi sfruttato per realizzare un attacco informatico attraverso il ransomware WannaCry, che, tramite questo exploit, sfrutta una vulnerabilità del protocollo Server Message Block (SMB).[1][2][3][4][5]

Dettagli[modifica | modifica wikitesto]

EternalBlue sfrutta una vulnerabilità nell'implementazione del protocollo Server Message Block (SMB) presente in alcuni sistemi operativi Microsoft. Questa vulnerabilità è oggi elencata come la numero CVE-2017-0144 nel catalogo Common Vulnerabilities and Exposures (CVE) (un dizionario di vulnerabilità e falle di sicurezza pubblicamente note). Tale vulnerabilità esiste poiché la versione 1 del protocollo SMB (SMBv1) presente in diverse versioni del sistema operativo Microsoft Windows accetta pacchetti di dati opportunamente prodotti inviati alla macchina da chi sta eseguendo un attacco remoto, permettendo a tali utenti remoti di eseguire codice arbitrario sulla macchina bersaglio dell'attacco.[6]

Il servizio di aggiornamento standard per Windows consente di risolvere questo problema attraverso la patch di sicurezza rilasciata da Microsoft in data 14 marzo 2017 e chiamata MS17-010, usufruibile per tutte le versioni del sistema operativo supportate a quella data, ossia Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, e Windows Server 2016.[7][8]

Purtroppo molti utilizzatori delle suddette versioni del sistema operativo non avevano ancora installato la patch MS17-010 quando, meno di due mesi più tardi, il 12 maggio 2017, un gruppo di hacker non ancora noto ha portato a termine un attacco con il ransomware WannaCry, che usa proprio le possibilità date dall'exploit EternalBlue per diffondersi.[9][10][11]

Il 13 maggio 2017, un giorno dopo l'attacco, Microsoft ha inusualmente fornito, tramite un download dal Microsoft Update Catalog, un aggiornamento di sicurezza volto a eliminare la sopraccitata vulnerabilità anche da versioni di Microsoft Windows non più supportate, ossia Windows XP, Windows 8, e Windows Server 2003.[12][13]

Note[modifica | modifica wikitesto]

  1. ^ a b NSA-leaking Shadow Brokers just dumped its most damaging release yet, Ars Technica. URL consultato il 17 maggio 2017.
  2. ^ Thomas Fox-Brewster, An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak, Forbes. URL consultato il 17 maggio 2017.
  3. ^ An NSA-derived ransomware worm is shutting down computers worldwide, Ars Technica. URL consultato il 17 maggio 2017.
  4. ^ Agamoni Ghosh, 'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools, International Business Times UK, 9 aprile 2017. URL consultato il 17 maggio 2017.
  5. ^ 'NSA malware' released by Shadow Brokers hacker group, BBC News, 10 aprile 2017. URL consultato il 17 maggio 2017.
  6. ^ Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN, ESET North America. URL consultato il 17 maggio 2017.
  7. ^ Catalin Cimpanu, Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r, Bleeping Computer, 13 maggio 2017. URL consultato il 17 maggio 2017.
  8. ^ Windows Vista Lifecycle Policy, Microsoft. URL consultato il 17 maggio 2017.
  9. ^ Microsoft Security Bulletin MS17-010 — Critical, technet.microsoft.com. URL consultato il 17 maggio 2017.
  10. ^ Lily Hay Newman, The Ransomware Meltdown Experts Warned About Is Here, Wired.com. URL consultato il 17 maggio 2017.
  11. ^ Wanna Decryptor: The NSA-derived ransomware worm shutting down computers worldwide, Ars Technica UK. URL consultato il 17 maggio 2017.
  12. ^ Surur, Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003, 13 maggio 2017. URL consultato il 17 maggio 2017.
  13. ^ MSRC Team, Customer Guidance for WannaCrypt attacks, Microsoft. URL consultato il 17 maggio 2017.

Collegamenti esterni[modifica | modifica wikitesto]