Det var NSA som i sin tid utviklet, og mistet kontrollen over, EternalBlue.
Det var NSA som i sin tid utviklet, og mistet kontrollen over, EternalBlue. (Montasje: Colourbox, digi.no)

EternalBlue

Skadevaren som delvis har slått ut Baltimore, er basert på superkraftig NSA-verktøy

Sikkerhetsfiksene ble utgitt for mer enn to år siden.

Som digi.no skrev i forrige uke, sliter den amerikanske byen fortsatt med store ettervirkninger to uker etter at myndighetene i byen ble rammet av et omfattende angrep basert på utpressingsvare. Mange tusen datamaskiner og mange IT-baserte tjenester er ute av drift, og det fryktes at det kan ta måneder før alt er oppe og kjører igjen. 

Nok en gang: EternalBlue

Selve utpressingsvaren skal er kjent som RobbinHood. Dette verktøyet stopper en mengde tjenester på Windows-baserte datamaskiner, før det går i gang med å kryptere filene.

Det har til nå vært relativt uklart hvordan utpressingsvaren har spredt seg fra maskin til maskin, men nå skriver New York Times at dette gjøres ved å utnytte EternalBlue, det NSA-utviklede angrepsverktøyet som også var hovedårsaken til at skadevare som WannaCry og NotPetya kunne spre seg så mye og raskt. 

Som kjent så utnytter EternalBlue en sårbarhet i den gamle SMB v1-protokollen (Server Message Block). Denne protokollen brukes primært til deling av filområder og skrivere i lokale Windows-nettverk, men søketjenesten Shodan avslører at minst en million Windows-datamaskiner eksponerer SMB-tjenesten mot internett. 

Les mer: Mer enn en million Windows-servere eksponerer SMB-porten på internett (Digi ekstra)

Sikkerhetsoppdateringene kom våren 2017

Windows har støttet versjon 2 av SMB siden Windows Vista, så det med mindre virksomheten har veldig gammelt IT-utstyr, er det ikke behov for å ha støtten for versjon 1 aktivert. Microsoft beskriver på denne siden flere ulike metoder for å sjekke om SMB v1 (også kalt CIFS) er aktivert og hvordan støtten kan skrus av.

Sårbarheten som EternalBlue utnytter, ble fjernet fra nyere Windows-versjoner i mars 2017. I mai kom Microsoft også med fritt tilgjengelige sikkerhetsfikser til Windows XP.

I utgangspunktet burde derfor alle Windows-systemer fra 2001 og fram til i dag være immune mot spredningsmekanismen som EternalBlue tilbyr. Men som angrepene med WannaCry, NotPetya og en rekke andre skadevarefamilier stadig demonstrerer, er dette ikke slik i virkeligheten.

Les også: For NSA var EternalBlue-verktøyet som å fiske med dynamitt

Økende angrep

Mange virksomheter unnlater tilsynelatende å installere selv kritiske sikkerhetsoppdateringer. I tillegg er det mange som har store mangler i selv de mest elementære sikkerhetsløsningene, slik som at brannmuren lar SMB være eksponert direkte på internett, uten bruk av for eksempel VPN. Slike tiltak er verken kostbare eller vanskelig å få til, men det krever visse kunnskaper og ikke minst tid. 

Ifølge både New York Times og Ars Technica er det hundretusenvis av offentlig eide datamaskiner i USA som både er sårbare for EternalBlue og som er eksponert på internett. 

Disse og andre sårbare maskiner verden over gjør at antallet forsøk på å utføre angrep ved hjelp av EternalBlue er langt høyere nå enn da WannaCry- og NotPetya rammet som verst, ifølge en fersk rapport fra IT-sikkerhetsselskapet Eset

Til New York Times sier ikke navngitte sikkerhetsspesialister at de ser at EternalBlue brukes i angrep nesten hver eneste dag. 

Byen Baltimore er for øvrig ikke den eneste amerikanske byen som har blitt rammet av utpressingsvare i det siste. Allentown i Pennsylvania, Lynn i Massachusetts, Cartersville i Georgia, San Antonio i Texas og Greenville i North Carolina er andre eksempler. Greenville ble i april rammet av samme skadevare som har slått ut systemene i Baltimore. 

Har du lest denne: – Skrinla oppgradering av IT-sikkerheten hos Mærsk fordi det ikke ga lederne økt bonus

Kommentarer (5)

Kommentarer (5)
Til toppen