Wat is EternalBlue?

"EternalBlue" is de naam voor een gelekte, door de NSA ontwikkelde exploit voor een kwetsbaarheid in SMBv1 die aanwezig was in alle Windows-besturingssystemen tussen Windows 95 en Windows 10. Server Message Block versie 1 of SMBv1, is een communicatieprotocol dat wordt gebruikt om toegang te delen bestanden, printers en seriële poorten via het netwerk.

Tip: De NSA werd eerder geïdentificeerd als een 'Vergelijkingsgroep'-bedreigingsacteur voordat deze en andere exploits en activiteiten ermee verbonden waren.

De NSA identificeerde de kwetsbaarheid in het SMB-protocol ten minste al in 2011. In het kader van haar strategie om kwetsbaarheden voor eigen gebruik aan te leggen, koos ze ervoor om deze niet aan Microsoft bekend te maken, zodat het probleem kon worden verholpen. De NSA ontwikkelde vervolgens een exploit voor het probleem dat ze EternalBlue noemden. EternalBlue is in staat om volledige controle over een kwetsbare computer te verlenen, aangezien het uitvoering van willekeurige code op beheerdersniveau mogelijk maakt zonder tussenkomst van de gebruiker.

De schaduwmakelaars

Op een gegeven moment, vóór augustus 2016, werd de NSA gehackt door een groep die zichzelf "The Shadow Brokers" noemde, vermoedelijk een door de Russische staat gesponsorde hackgroep. De Shadow Brokers kregen toegang tot een grote hoeveelheid gegevens en hacktools. Ze probeerden ze aanvankelijk te veilen en voor geld te verkopen, maar kregen weinig rente.

Tip: Een "door de staat gesponsorde hackgroep" is een of meer hackers die opereren met de uitdrukkelijke toestemming, ondersteuning en aanwijzingen van een overheid of voor officiële offensieve cybergroepen van de overheid. Elke optie geeft aan dat de groepen zeer goed gekwalificeerd, doelgericht en weloverwogen zijn in hun acties. 

Nadat ze hadden begrepen dat hun tools waren gecompromitteerd, informeerde de NSA Microsoft over de details van de kwetsbaarheden, zodat een patch kon worden ontwikkeld. Oorspronkelijk gepland voor release in februari 2017, werd de patch naar maart geduwd om ervoor te zorgen dat de problemen correct werden opgelost. Op 14 maart 2017 heeft Microsoft de updates gepubliceerd, waarbij de EternalBlue-kwetsbaarheid wordt beschreven in het beveiligingsbulletin MS17-010, voor Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 en Server 2016.

Een maand later, op 14 april, publiceerden The Shadow Brokers de exploit, samen met tientallen andere exploits en details. Helaas, ondanks het feit dat de patches een maand beschikbaar waren voordat de exploits werden gepubliceerd, installeerden veel systemen de patches niet en bleven ze kwetsbaar.

Gebruik van de EternalBlue

Iets minder dan een maand nadat de exploits waren gepubliceerd, werd op 12 mei 2017 de "Wannacry" ransomware-worm gelanceerd met behulp van de EternalBlue-exploit om zich naar zoveel mogelijk systemen te verspreiden. De volgende dag bracht Microsoft noodbeveiligingspatches uit voor de niet-ondersteunde Windows-versies: XP, 8 en Server 2003.

Tip: "Ransomware" is een klasse van malware die geïnfecteerde apparaten versleutelt en vervolgens de decoderingssleutel vasthoudt om losgeld te vragen, meestal voor Bitcoin of andere cryptocurrencies. Een "worm" is een klasse malware die zichzelf automatisch verspreidt naar andere computers, in plaats van dat computers afzonderlijk moeten worden geïnfecteerd.

Volgens IBM X-Force was de "Wannacry" ransomware-worm verantwoordelijk voor meer dan 8 miljard dollar aan schade in 150 landen, hoewel de exploit alleen betrouwbaar werkte op Windows 7 en Server 2008. In februari 2018 hebben beveiligingsonderzoekers de exploit met succes aangepast om betrouwbaar kunnen werken op alle versies van Windows sinds Windows 2000.

In mei 2019 werd de Amerikaanse stad Baltimore getroffen door een cyberaanval waarbij gebruik werd gemaakt van de EternalBlue-exploit. Een aantal cybersecurity-experts wees erop dat deze situatie volledig te voorkomen was, aangezien patches op dat moment al meer dan twee jaar beschikbaar waren, een periode waarin in ieder geval "Critical Security Patches" met "Public Exploits" geïnstalleerd hadden moeten worden.