Время прочтения: 2 мин.

Эксплоит EternalBlue, о котором стало известно весной 2017 года, лёг в основу получившего широкую известность вируса-шифровальщика Wanna Cry. Данный вирус использует эксплоит для распространения и загрузки на уязвимые ПК шифровальщика данных. Предполагаемый ущерб, нанесенный WannaCry уже за первые четыре дня, превысил $1 млрд, если учитывать вынужденные простои организаций из 150 стран. Позже Microsoft выпустила обновление MS17-010, закрывающее уязвимость. EternalBlue эксплуатирует уязвимость типа «переполнение буфера» в Microsoft SMBv1, что позволяет выполнить произвольный код. Среди уязвимых операционных систем Windows 7, Windows Server 2008, Windows XP и даже Windows 10.

Следует отметить, что выше рассмотрен всего лишь один пример уязвимости протокола SMB. На текущий момент уже известно о наличии новых уязвимостей и процесс их обнаружения будет непрерывно продолжаться.

Важно своевременно проводить аудит организации на предмет выявления хостов с запущенной службой. Одним из вариантов является сканирование портов утилитой nmap. Команда позволит выявить хосты с открытым портом tcp/445:

Nmap  <ip network>  -p 445 -v      

            Выявить уязвимые для эксплоита EternalBlue хосты возможно с помощью следующей команды:

 Nmap  <ip network>  -p 445 -v  –script smb-vuln-ms17-010  

Среди рекомендаций, позволяющих минимизировать риск нанесения ущерба организации от эксплуатации уязвимостей протокола хакерами, можно выделить:

1.         Отключение службы LANMAN на станциях, если это не влияет на рабочий процесс. В случае необходимости работоспособности службы необходимо отключить поддержку SMBv1.  С помощью powershell это можно сделать командой:

Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Тип DWORD -Значение 0 –Force

2.         Использование файрвола для ограничения доступа к порту 445 внутри организации, в особенности к критичным ресурсам(серверам).

3.         Своевременная установка обновлений операционной системы.

Данные меры позволят минимизировать риски эксплуатации уязвимостей протокола SMB и снизить риски нанесения ущерба организации.