Для начала разберемся что такое эксплойты. Экспло́ит — компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему.
Эксплойтов куча и все они разные. Сегодня разберем эксплойт EternalBlue.
EternalBlue - эксплоит, эксплуатирующий компьютерную уязвимость в Windows-реализации протокола SMB (Server Message Block), к разработке которого, как считается, причастно Агентство национальной безопасности (США). Секретные сведения об уязвимости и исполняемый код эксплойта были опубликованы хакерской группой The Shadow Brokers 14 апреля 2017 года. Уязвимость была использована при распространении вредоносного ПО WannaCry в мае 2017 года (о нем в прошлой статье), а также при распространении Petya в июне 2017 года.
Для чего он? Злоумышленник, сформировав и передав на удалённый узел особым образом подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код.
Первое публичное использование эксплоита EternalBlue было зарегистрировано 21 апреля 2017 года, когда программа-бэкдор DoublePulsar, основанная на коде АНБ, поразила свыше 200 тысяч компьютеров в течение нескольких дней. 12 мая 2017 года появился шифровальщик WannaCry, использовавший эксплоит EternalBlue и код DoublePulsar, который поразил десятки тысяч компьютеров в Интернете. Размах атаки был настолько обширен, что побудил Microsoft выпустить обновления к неподдерживаемым ОС Windows XP/Windows Server 2003, Windows Vista и Windows 8.
Компания-разработчик Microsoft подтвердила, что уязвимости подвержены все версии Windows, начиная с Windows XP и заканчивая Windows Server 2016, то есть уязвимость оставалась неисправленной на протяжении по крайней мере 16 лет. Уязвимость была устранена в серии обновлений MS17-010.
Вот почему нужно отключить службу SMBv1 в любой из Windows...