W zeszłym roku grupa hakerska Shadow Brokers ujawniła zestaw narzędzi używany przez "elitarny zespół" wewnątrz NSA. Sprawą nikt najwyraźniej się nie zainteresował (tj. nie zaoferował hakerom żadnej rozsądnej sumy za milczenie), dlatego też ujawniono kolejną serie narzędzi, tym razem bezpośrednio adresowanych do systemów Windows. Jak donoszą ZDNet i Hacker Fantastic, narzędzia i exploity pokrywają Windows 2000, Windows XP, Windows 7, Windows 8, a także Windows Server 2000, 2003, 2008, 2008 R2 i 2012.
Exploity miały być aktywnie wykorzystywane przez National Security Agency w atakach na niektóre banki, a nawet system bankowości SWIFT. Narzędzia hakerskie pozwalały też agentom z samozwańczej Equation Group głęboko infiltrować sieci, atakując VPN i firewalle. Wymieniane są takie nazwy, jak ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE czy ETERNALSYSTEM - INTERNET GOD MODE. W arsenale NSA znajdować się ma także narzędzie ExplodingCan, które tworzy zdalnego backdoora po zaatakowaniu exploitem usługi Internet Information Services (IIS) w starszych wersjach systemu. Według dalszych wyjaśnień EternalSynergy jest zdalnym exploitem SMB na Windows 8 i Server 2012, a EternalRomance - exploitem SMB1 adresowanym do Windows XP, Vista, 7, 8, ich odpowiedników serwerowych, Server 2003, 2008 i 2008 R2. Pojawiły się też informacje o EsteemAudit, exploicie na Remote Desktop Protocol, działającym w Windows Server 2003. Pozwala on zaatakować uwierzytelnianie SmartCard w trakcie logowania i działa również w załatanej wersji systemu serwerowego.
One running theme with the banking operation - they're compromising prime vendor VPN and firewall devices, also they're FAR into networks. pic.twitter.com/MNUlCpLjVW
— Kevin Beaumont (@GossiTheDog) 14 kwietnia 2017
Rzecznik Microsoft powiedział, że firma "bada raport i podejmie konieczne działania, by chronić swoich klientów". Wiele z opisanych przez hakerów exploitów wygląda na zero-day. Po dokonaniu rewizji Microsoft opublikował post, w którym odnosi się do ujawnionych rewelacji: "Większość ujawnionych exploitów odnosi się do podatności, które zostały już załatane w naszych wspieranych produktach. Poniżej znajduje się lista exploitów, które zostały potwierdzone jako już zaadresowane w aktualizacjach. Zachęcamy naszych klientów, by upewnili się, że ich komputery są aktualne". Lista przedstawia się następująco:
- “EternalBlue” - zaadresowany w MS17-010
- “EmeraldThread ”- zaadresowany w MS10-061
- “EternalChampion” - zaadresowany w CVE-2017-0146 i CVE-2017-0147
- “ErraticGopher” - zaadresowany wcześniej w wydaniu Windows Vista
- “EsikmoRoll” - zaadresowany w MS14-068
- “EternalRomance” - zaadresowany w MS17-010
- “EducatedScholar” - zaadresowany w MS09-050
- “EternalSynergy” - zaadresowany w MS17-010
- “EclipsedWing” - zaadresowany w MS08-067
Microsoft informuje też, że trzy pozostałe exploity - “EnglishmanDentist”, “EsteemAudit” i “ExplodingCan” - nie zagrażają żadnej ze wspieranych platform. Oznacza to, że klienci używający Windows 7 i Exchange 2010 (lub nowszych) nie są narażeni. Użytkownikom starszych wersji zaleca się upgrade do nowszych systemów.
341f31d.png)