Вразливість Windows SMB, пов’язана з віддаленим виконанням коду
У Microsoft Server Message Block 1.0 (SMBv1) існує безліч вразливостей для віддаленого виконання коду через неправильну обробку певних запитів.
Неавторизований, віддалений зловмисник може використовувати ці вразливості через спеціально створений пакет для виконання довільного коду. (CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147, CVE-2017-0148)
ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE і ETERNALSYNERGY – це чотири з деякий експлоітів, розроблених групою Equation Group, але розкриті в 2017 році групою відомою як Shadow Brokers.
WannaCrypt – це програма, яка використовує ETERNALBLUE, а Eternal Rocks – це черв’як, який використовує сім вразливостей Equation Group. Petya – це програма, яка спочатку використовує CVE-2017-0199, уразливість в Microsoft Office, а потім поширюється через ETERNALBLUE.
Поєднуючи ці інструменти, атакуючий може скомпрометувати практично будь-яку систему з сімейства Windows, окрім Windows 10, якщо користувач встановив пакет оновлення MS17-010.
Рекомендації для закриття вразливості
Встановити набір виправлень випущених Microsoft для Windows Vista, XP, 2003, 2008, 7, 2008 R2, 2012, 8, 8.1, RT 8.1, 2012 R2, 10 та 2016.
Для операційних систем Windows, рекомендується припинити використання SMBv1, особливо які не підтримуються виробником. SMBv1 не вистачає функції безпеки, які були включені в пізніші версії SMB.Крім того, рекомендується користувачам блокувати SMB, безпосередньо блокуючи TCP-порт 445 на всіх мережевих пристроях. Для SMB через API NetBIOS, блокувати TCP-порти 137/139 і UDP-порти 137/138 на всіх мережевих пристроях, що знаходяться на периметрі.
