Enda flere angrepsverktøy som angivelig skal stamme fra NSA, har blitt lekket. Men de utgjør ingen fare for oppdaterte Microsoft-produkter. Bildet er fra Fort Meade, hovedkontoret til blant annet NSA.
Enda flere angrepsverktøy som angivelig skal stamme fra NSA, har blitt lekket. Men de utgjør ingen fare for oppdaterte Microsoft-produkter. Bildet er fra Fort Meade, hovedkontoret til blant annet NSA. (Bilde: Patrick Semansky, AP, NTB Scanpix)

The Shadow Brokers

Microsoft vil ikke avsløre hvem som varslet dem om NSAs angrepsverktøy

Ny samling ble lekket i påsken.

Gruppen som kaller seg for The Shadow Brokers kom langfredag med en ny utgivelse av angrepsverktøy som angivelig skal stamme fra kyberarsenalet til den amerikanske signaletterretningstjenesten NSA.

Den første samlingen ble utgitt for halvannen uke siden. Da dreide det seg primært om verktøy som utnytter eldre sårbarheter i Unix- og Linux-systemer. Men nye samlingen omfatter i langt større grad Windows. 

Det var antatt at samlingen ville inneholde informasjon om til nå ukjente sårbarheter i Windows, noe som kunne ha gjort plattformen temmelig utsatt en periode. Mange sikkerhetsspesialister gikk tidlig ut og sa at samlingen inneholdt nulldagssårbarheter som ville kunne utnyttes selv i fullt oppdaterte systemer. 

Men dette viste seg raskt ikke å stemme.

Sikkerhetsfiksene kom i mars

Allerede samme dag som angrepsverktøyene ble kjent, men først etter en del timer, kunne Microsoft berolige kundene med angrepsverktøyene som nå var blitt lekket, ikke ville fungere på fullt oppdaterte utgaver av de Windows-versjonene selskapet fortsatt støtter. 

Tabellen nedenfor er utgitt av Microsoft og adresserer de ulike angrepsverktøyene i «Lost In Translation»-lekkasjen til The Shadow Brokers.

Code Name Solution
EternalBlue Addressed by MS17-010
EmeraldThread Addressed by MS10-061
EternalChampion Addressed by CVE-2017-0146 & CVE-2017-0147
“ErraticGopher” Addressed prior to the release of Windows Vista
EsikmoRoll Addressed by MS14-068
EternalRomance Addressed by MS17-010
EducatedScholar Addressed by MS09-050
EternalSynergy Addressed by MS17-010
EclipsedWing Addressed by MS08-067

Noen av angrepsverktøyene skal ha utnyttet sårbarheter som ble fjernet fra Microsoft produkter allerede for hel del år siden. Men andre ble først fjernet i mars i år, altså bare en måned før The Shadow Brokers utga samlingen.

Likevel er det slik at noen av angrepsverktøyene fortsatt kunne brukes mot systemer som Microsoft ikke lenger støtter, slik som Windows XP og Windows Server 2003.

Bakgrunn: Knapt noen vil kjøpe lekkede «NSA-verktøy», trass i utnyttelse av ukjente sårbarheter

Har ikke oppgitt kilde

Hvordan Microsoft har fått vite om disse sårbarhetene, og trolig allerede for flere måneder siden, er ukjent. Selskapet har ikke oppgitt hvordan det har fått vite om de aktuelle sårbarhetene, noe som er temmelig uvanlig. 

Dette har fått mange til å spekulere.

Ifølge Ars Technica er det flere aktuelle teorier. Den ene går ut på at NSA allerede i vinter kan ha informert Microsoft i det skjulte om hva som verktøysamlingen inneholder. 

En annen mulighet er at Microsoft rett og slett har betalt The Shadow Brokers for informasjon om sårbarhetene. 

Men da selskapet kom med sikkerhetsfiksene i mars, opplyste selskapet spesifikt at det på dette tidspunktet ikke var kjent med at de aktuelle sårbarhetene ble aktivt utnyttet, noe det jo nå er klart at de ble. 

Dersom NSA eller The Shadow Brokers hadde vært kilden til Microsoft, ville selskapet også ha visst at sårbarhetene ble utnyttet i de aktuelle verktøyene.

 

En tredje mulighet er at Microsoft på egenhånd har oppdaget sårbarhetene. Dette kan ha skjedd, men sannsynligheten for at selskapet skal ha funnet alle de fire, aktuelle sårbarhetene omtrent samtidig og nærmest ved en tilfeldighet, virker liten. Det forklarer heller ikke hvorfor selskapet ikke har kreditert noen for oppdagelsene. 

Konkluderte veldig raskt

Det at selskapet etter bare noen timer på fredag kategorisk kunne erklære at ingen av verktøyene utgjør noen risiko for støttede systemer, tyder også på at selskapet fra før hadde informasjon om hva samlingen med angrepsverktøy faktisk inneholdt. 

I en uttalelse som av amerikanske IT-presse omtales som vag, avviser Microsoft i alle fall NSA-sporet.

– Bortsett fra reportere, har ingen individer eller organisasjoner kontaktet oss i forbindelse med materialet utgitt av Shadow Brokers. 

Det er ZDNet som har gjengitt denne uttalelsen.

En talsperson fra Microsoft skal ha opplyst ZDNet om at selskapet kan unnlate å kreditere sårbarhetsrapporter fra egne ansatte, på forespørsel om å ikke bli kreditert, eller dersom finneren ikke følger koordinert avsløring av sårbarhetene.

Les også: Ny Snowden-lekkasje bekrefter at lekket hackerverktøy tilhører NSA

Kommentarer (2)

Kommentarer (2)
Til toppen