Время прочтения: 2 мин.
Эксплоит EternalBlue, о котором стало известно весной 2017 года, лёг в основу получившего широкую известность вируса-шифровальщика Wanna Cry. Данный вирус использует эксплоит для распространения и загрузки на уязвимые ПК шифровальщика данных. Предполагаемый ущерб, нанесенный WannaCry уже за первые четыре дня, превысил $1 млрд, если учитывать вынужденные простои организаций из 150 стран. Позже Microsoft выпустила обновление MS17-010, закрывающее уязвимость. EternalBlue эксплуатирует уязвимость типа «переполнение буфера» в Microsoft SMBv1, что позволяет выполнить произвольный код. Среди уязвимых операционных систем Windows 7, Windows Server 2008, Windows XP и даже Windows 10.
Следует отметить, что выше рассмотрен всего лишь один пример уязвимости протокола SMB. На текущий момент уже известно о наличии новых уязвимостей и процесс их обнаружения будет непрерывно продолжаться.
Важно своевременно проводить аудит организации на предмет выявления хостов с запущенной службой. Одним из вариантов является сканирование портов утилитой nmap. Команда позволит выявить хосты с открытым портом tcp/445:
Nmap <ip network> -p 445 -v
Выявить уязвимые для эксплоита EternalBlue хосты возможно с помощью следующей команды:
Nmap <ip network> -p 445 -v –script smb-vuln-ms17-010
Среди рекомендаций, позволяющих минимизировать риск нанесения ущерба организации от эксплуатации уязвимостей протокола хакерами, можно выделить:
1. Отключение службы LANMAN на станциях, если это не влияет на рабочий процесс. В случае необходимости работоспособности службы необходимо отключить поддержку SMBv1. С помощью powershell это можно сделать командой:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Тип DWORD -Значение 0 –Force
2. Использование файрвола для ограничения доступа к порту 445 внутри организации, в особенности к критичным ресурсам(серверам).
3. Своевременная установка обновлений операционной системы.
Данные меры позволят минимизировать риски эксплуатации уязвимостей протокола SMB и снизить риски нанесения ущерба организации.