O que é EternalBlue?

“EternalBlue” é o nome de um exploit desenvolvido pela NSA para uma vulnerabilidade no SMBv1 que estava presente em todos os sistemas operacionais Windows entre o Windows 95 e o Windows 10. Server Message Block versão 1, ou SMBv1, é um protocolo de comunicação usado para compartilhar o acesso para arquivos, impressoras e portas seriais na rede.

Dica: A NSA foi identificada anteriormente como um ator de ameaça do “Equation Group” antes que essa e outras explorações e atividades fossem vinculadas a ela.

A NSA identificou a vulnerabilidade no protocolo SMB pelo menos já em 2011. Sob sua estratégia de estocar vulnerabilidades para seu próprio uso, optou por não divulgá-la à Microsoft para que o problema pudesse ser corrigido. A NSA desenvolveu então um exploit para o problema que eles chamaram de EternalBlue. EternalBlue é capaz de conceder controle completo sobre um computador vulnerável, pois concede execução de código arbitrário em nível de administrador sem a necessidade de interação do usuário.

The Shadow Brokers

Em algum momento, antes de agosto de 2016, a NSA foi hackeada por um grupo que se autodenomina “The Shadow Brokers”, que se acredita ser um grupo de hackers patrocinado pelo Estado russo. Os Shadow Brokers obtiveram acesso a um grande tesouro de dados e ferramentas de hacking. Inicialmente, eles tentaram leiloá-los e vendê-los por dinheiro, mas receberam poucos juros.

Dica: Um “grupo de hackers patrocinado pelo estado” é um ou mais hackers operando com o consentimento, apoio e orientação explícitos do governo ou para grupos cibernéticos oficiais ofensivos do governo. Qualquer uma das opções indica que os grupos são muito bem qualificados, direcionados e deliberados em suas ações. 

Depois de entender que suas ferramentas estavam comprometidas, a NSA informou a Microsoft sobre os detalhes das vulnerabilidades para que um patch pudesse ser desenvolvido. Inicialmente programado para lançamento em fevereiro de 2017, o patch foi adiado para março para garantir que os problemas fossem corrigidos corretamente. Em 14 de março de 2017, a Microsoft publicou as atualizações, com a vulnerabilidade EternalBlue detalhada no boletim de segurança MS17-010, para Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 e Server 2016.

Um mês depois, no dia 14 de abril, The Shadow Brokers publicou o exploit, junto com dezenas de outros exploits e detalhes. Infelizmente, apesar dos patches estarem disponíveis por um mês antes da publicação das explorações, muitos sistemas não instalaram os patches e permaneceram vulneráveis.

Uso do EternalBlue

Pouco menos de um mês após a publicação dos exploits, em 12 de maio de 2017, o worm ransomware “Wannacry” foi lançado usando o exploit EternalBlue para se espalhar para o maior número de sistemas possível. No dia seguinte, a Microsoft lançou patches de segurança de emergência para as versões sem suporte do Windows: XP, 8 e Server 2003.

Dica: “Ransomware” é uma classe de malware que criptografa dispositivos infectados e, em seguida, mantém a chave de descriptografia para resgate, normalmente para Bitcoin ou outras criptomoedas. Um “worm” é uma classe de malware que se propaga automaticamente para outros computadores, em vez de exigir que os computadores sejam infectados individualmente.

De acordo com a IBM X-Force, o worm ransomware “Wannacry” foi responsável por mais de US $ 8 bilhões em danos em 150 países, embora a exploração funcionasse apenas de forma confiável no Windows 7 e no Server 2008. Em fevereiro de 2018, pesquisadores de segurança modificaram com sucesso a exploração para ser capaz de funcionar de forma confiável em todas as versões do Windows desde o Windows 2000.

Em maio de 2019, a cidade americana de Baltimore foi atingida por um ataque cibernético utilizando o exploit EternalBlue. Vários especialistas em segurança cibernética apontaram que essa situação era totalmente evitável, pois os patches já estavam disponíveis há mais de dois anos, um período durante o qual, pelo menos, “Patches de segurança crítica” com “Explorações públicas” deveriam ter sido instalados.