Was ist EternalBlue?

„EternalBlue“ ist der Name für einen durchgesickerten, von der NSA entwickelten Exploit für eine Schwachstelle in SMBv1, die in allen Windows-Betriebssystemen zwischen Windows 95 und Windows 10 vorhanden war. Server Message Block Version 1 oder SMBv1 ist ein Kommunikationsprotokoll, das verwendet wird, um den Zugriff zu teilen zu Dateien, Druckern und seriellen Ports über das Netzwerk.

Tipp: Die NSA wurde zuvor als Bedrohungsakteur der „Equation Group“ identifiziert, bevor diese und andere Exploits und Aktivitäten mit ihnen in Verbindung gebracht wurden.

Die NSA identifizierte die Schwachstelle im SMB-Protokoll spätestens im Jahr 2011. Im Rahmen ihrer Strategie, Schwachstellen für den eigenen Gebrauch zu horten, entschied sie sich, sie Microsoft nicht offenzulegen, damit das Problem gepatcht werden konnte. Die NSA entwickelte daraufhin einen Exploit für das Problem, den sie EternalBlue nannten. EternalBlue ist in der Lage, einem anfälligen Computer die vollständige Kontrolle zu gewähren, da es die Ausführung willkürlichen Codes auf Administratorebene ohne Benutzerinteraktion ermöglicht.

Die Schattenmakler

Irgendwann, vor August 2016, wurde die NSA von einer Gruppe gehackt, die sich „The Shadow Brokers“ nannte und vermutlich eine von Russland unterstützte Hackergruppe war. Die Shadow Brokers erhielten Zugang zu einem großen Fundus an Daten und Hacking-Tools. Sie versuchten zunächst, sie zu versteigern und für Geld zu verkaufen, erhielten jedoch wenig Interesse.

Tipp: Eine „staatlich gesponserte Hackergruppe“ ist ein oder mehrere Hacker, die entweder mit ausdrücklicher Zustimmung, Unterstützung und Anweisung einer Regierung oder für offizielle staatliche offensive Cybergruppen tätig sind. Beide Optionen weisen darauf hin, dass die Gruppen sehr gut qualifiziert, zielgerichtet und überlegt in ihren Handlungen sind. 

Nachdem die NSA erkannt hatte, dass ihre Tools kompromittiert wurden, informierte sie Microsoft über die Details der Sicherheitslücken, damit ein Patch entwickelt werden konnte. Ursprünglich für Februar 2017 geplant, wurde der Patch auf März verschoben, um sicherzustellen, dass die Probleme korrekt behoben wurden. Am 14. März 2017 veröffentlichte Microsoft das Updates, mit der EternalBlue Verwundbarkeit durch das detaillierte wird die Security Bulletin MS17-010, für Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 und Server 2016.

Einen Monat später, am 14. April, veröffentlichten The Shadow Brokers den Exploit zusammen mit Dutzenden anderer Exploits und Details. Obwohl die Patches einen Monat vor der Veröffentlichung der Exploits zur Verfügung standen, installierten viele Systeme die Patches leider nicht und blieben anfällig.

Verwendung des EternalBlue

Knapp einen Monat nach Veröffentlichung der Exploits wurde am 12. Mai 2017 der Ransomware-Wurm „Wannacry“ mit dem Exploit EternalBlue gestartet, um sich auf möglichst vielen Systemen zu verbreiten. Am nächsten Tag veröffentlichte Microsoft Notfall-Sicherheitspatches für die nicht unterstützten Windows-Versionen: XP, 8 und Server 2003.

Tipp: „Ransomware“ ist eine Klasse von Malware, die infizierte Geräte verschlüsselt und dann den Entschlüsselungsschlüssel als Lösegeld festhält, typischerweise für Bitcoin oder andere Kryptowährungen. Ein „Wurm“ ist eine Klasse von Malware, die sich automatisch auf andere Computer ausbreitet, anstatt dass Computer einzeln infiziert werden müssen.

Laut IBM X-Force war der Ransomware-Wurm „Wannacry“ für mehr als 8 Milliarden US-Dollar Schaden in 150 Ländern verantwortlich, obwohl der Exploit nur unter Windows 7 und Server 2008 zuverlässig funktionierte. Im Februar 2018 modifizierten Sicherheitsforscher den Exploit erfolgreich auf auf allen Windows-Versionen seit Windows 2000 zuverlässig arbeiten können.

Im Mai 2019 wurde die US-Stadt Baltimore von einem Cyberangriff mit dem EternalBlue-Exploit getroffen. Eine Reihe von Cybersicherheitsexperten wies darauf hin, dass diese Situation durchaus vermeidbar sei, da zu diesem Zeitpunkt Patches seit mehr als zwei Jahren verfügbar seien, ein Zeitraum, in dem zumindest „Critical Security Patches“ mit „Public Exploits“ hätten installiert werden sollen.