EternalBlue

EternalBlue, a volte stilizzato in ETERNALBLUE,^[1] è il nome di un exploit sviluppato dalla National Security Agency (NSA). Il mondo informatico è venuto a conoscenza dell'esistenza di questo exploit dopo che il gruppo di hacker chiamato The Shadow Brokers lo ha illegalmente diffuso il 14 aprile 2017. Il 12 maggio 2017, l'exploit è stato poi sfruttato per realizzare un attacco informatico attraverso il ransomware WannaCry, che, tramite questo exploit, sfrutta una vulnerabilità del protocollo Server Message Block (SMB).^{[1][2][3][4][5]}

Disambiguazione – Se stai cercando l'album degli Spiritbox, vedi Eternal Blue.

Dettagli

EternalBlue sfrutta una vulnerabilità nell'implementazione del protocollo Server Message Block (SMB) presente in alcuni sistemi operativi Microsoft. Questa vulnerabilità è oggi elencata come la numero CVE-2017-0144 nel catalogo Common Vulnerabilities and Exposures (CVE) (un dizionario di vulnerabilità e falle di sicurezza pubblicamente note). Tale vulnerabilità esiste poiché la versione 1 del protocollo SMB (SMBv1) presente in diverse versioni del sistema operativo Microsoft Windows accetta pacchetti di dati opportunamente prodotti inviati alla macchina da chi sta eseguendo un attacco remoto, permettendo a tali utenti remoti di eseguire codice arbitrario sulla macchina bersaglio dell'attacco.^[6]

Il servizio di aggiornamento standard per Windows consente di risolvere questo problema attraverso la patch di sicurezza rilasciata da Microsoft in data 14 marzo 2017 e chiamata MS17-010, usufruibile per tutte le versioni del sistema operativo supportate a quella data, ossia Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, e Windows Server 2016.^[7][8]

Purtroppo molti utilizzatori delle suddette versioni del sistema operativo non avevano ancora installato la patch MS17-010 quando, meno di due mesi più tardi, il 12 maggio 2017, un gruppo di hacker non ancora noto ha portato a termine un attacco con il ransomware WannaCry, che usa proprio le possibilità date dall'exploit EternalBlue per diffondersi.^[9][10][11]

Il 13 maggio 2017, un giorno dopo l'attacco, Microsoft ha inusualmente fornito, tramite un download dal Microsoft Update Catalog, un aggiornamento di sicurezza volto a eliminare la sopraccitata vulnerabilità anche da versioni di Microsoft Windows non più supportate, ossia Windows XP, Windows 8, e Windows Server 2003.^[12][13]