EternalBlue, l’exploit che minaccia il mondo dell’informatica

Identificato anche come l’exploit più longevo e dannoso di tutti i tempi, EternalBlue è l’incubo ricorrente degli informatici di tutto il mondo. Sarà per il genere di attacchi informatici che riescono a sfruttarlo, la sua nomea da tempo lo precede.

La diffusione nel mondo dell’informatica della conoscenza di EternalBlue si deve  al gruppo di criminal hacker The Shadow Brokers (TBS) che nel 2017 lo ha diffuso illecitamente.
Eternalblue è più propriamente un’arma progettata per l’unità di Intelligence militare americana, con l’obiettivo di ottenere l’accesso ai computer utilizzati dai terroristi. Questo era il suo scopo iniziale. Il fato che questo exploit venga considerato estremamente letale deriva dal fatto che consente di eseguire attacchi di tipo Remote Code Execution e concede all’utente malintenzionato l’accesso a un sistema inviando pacchetti appositamente predisposti.

La vulnerabilità infatti è in grado di sfruttare i punti deboli presenti all’interno del sistema Window, in particolare nel modo in cui il sistema operativo ha implementato il protocollo Server Message Block (SMB).

Ma non affrettiamo troppo i tempi, rendiamoci qualche minuto per esaminare tutti gli aspetti che riguardano Eternalblue.
In questo articolo scopriremo cos’è EternalBlue, quali danni ha causato e come viene affrontato oggi l’exploit.

1. Di cosa si tratta?

2. Cosa è andato storto?

3. L’attacco EternalBlue in Ucraina

4. Gli strumenti di EternalBlue

5. Dobbiamo temere ancora oggi EternalBlue?

6. Come proteggersi da EternalBlue

EternalBlue possiede queste due definizioni:

• Un termine per descrivere una serie di vulnerabilità nel software di Microsoft, ufficialmente denominato MS17-010, che si applica solo ai sistemi operativi Windows.

• Un exploit sviluppato dalla National Security of United States, come parte del loro controverso programma di stoccaggio, per combattere e scoprire i file dei terroristi da remoto, armamento delle vulnerabilità in SMBv1 presente in tutti i sistemi operativi Windows tra Windows 95 e Windows 10.

In sintesi, si tratta di un protocollo di comunicazione utilizzato per condividere l’accesso a file SMv1 (Server Message Block versione 1), stampanti e porte seriali sulla rete. Questo protocollo presenta una falla: essere tecnicamente a rischio di ransomware e altri attacchi informatici.

Dal 2011 questa vulnerabilità nel protocollo è stata identificata dalla NSA, che commise l’errore di non rivelarla a Microsoft per correggerla in tempo, a causa della sua strategia di aggiungerla nell’accumulo di problemi tecnici per uso personale.

Fu così che nacque EternalBlue, in risposta di questo problema. Esso doveva garantire il controllo completo su un computer esposto, garantendo l’esecuzione di codice arbitrario a livello di amministratore, senza la presenza dell’utente.

Nell’estate 2016, l’Agenzia per la Sicurezza Nazionale americana (NSA) viene attaccata dal gruppo di criminal hacker identificata come The Shadow Brokers.
Si tratta di un gruppo di criminali informatici finanziato con buona probabilità dalla Federazione Russa.
In seguito all’attacco, la cybergang hanno avuto accesso a una grande quantità di dati e strumenti di hacking. Il loro primo tentativo è stato metterli all’asta a scopo di lucro, fallito per mancanza di compratori interessati.
Dopo aver intuito la compromissione dei loro strumenti, la NSA ha informato alla fine Microsoft riguardo le vulnerabilità di sistema, così da poter sviluppare una patch.

La patch risolutiva di EternalBlue doveva essere rilasciata a febbraio 2017.

Infatti, Microsoft presenta, il 14 marzo 2017, il bollettino sulla sicurezza MS17-010 la vulnerabilità EternalBlue.
Secondo la società, la vulnerabilità colpiva i sistemi Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 e Server 2016.

Un mese dopo, The Shadow Brokers pubblicò l’exploit con relativi dettagli.
Molti sistemi purtroppo non avevano ancora predisposto l’installazione della patch, pur essendo state rese note da oltre un mese. Fu proprio allora che si scatenò un vero e proprio putiferio.

La situazione peggiorò rapidamente: nello stesso anno nasce ransomware Wannacry. Il cryptovirus che era in grado di sfruttare l’exploit EternalBlue per diffondersi nel maggior numero possibile di sistemi.

Wannacry si diffuse in breve tempo in lungo e in largo, seminando il panico tra le aziende di tutto il mondo.

Dalle ultime stime si evince che il ransomware abbia generato danni in più di 150 Paesi e sia stato in grado di guadagnare oltre 8 miliardi di dollari. Cifre impressionanti se contiamo che l’exploit ha funzionato in modo affidabile solo su Windows 7 e Server 2008.

Una breve considerazione dopo l’analisi del case study: l’infezione WannaCry poteva certamente essere scongiurata.
Secondo numerosi esperti di sicurezza informatica l’infezione era del tutto prevedibile: le patch erano disponibili da più di due anni eppure, molte aziende  le hanno sostanzialmente ignorate.

Il 27 giugno 2017 l’Ucraina viene attaccata da una nuova campagna ransomware: vengono prese di mira le banche, gli enti governativi e le organizzazioni statali, aeroporti, ferrovie e società di telecomunicazioni.

Il malware che colpisce il territorio ucraino nel 2017 è NotPetya, armato di EternalBlue ed è stato in grado di causare danni significativi.

Persino il sistema di monitoraggio delle radiazioni della centrale nucleare di Chernobyl viene colpito dall’infezione.
Poiché l’attacco sembrava mirare a paralizzare lo stato ucraino piuttosto che per motivi monetari, la Russia ad oggi è il principale sospettato.
Sebbene le autorità ucraine e la CIA si siano espresse, la Russia ha sempre negato qualsiasi coinvolgimento.

Secondo Trend Micro, nel 2019, a distanza di due anni dallo scoppio di WannaCry, oltre 73.763 campioni di malware rilevati impiegavano EternalBlue.

Fortunatamente, la patch MS17-010 di Microsoft ha raggiunto la maggior parte degli utenti.
Purtroppo, le organizzazioni sono notoriamente lente nell’aggiornamento del proprio parco macchine. Pertanto, EternalBlue viene ancora oggi sfruttato dai gruppi di criminal hacker per gli attacchi ransomware.

Cosa si potrebbe fare?

Per logica, dovremmo smettere di usare SMB su Internet.
EternalBlue non è senza dubbio l’ultimo exploit che colpisce le PMI.
Suo “fratello minore” SMBleed (CVE-2020-1206) è una nuova vulnerabilità e funziona in modo molto simile, per fortuna è stato immediatamente corretto da Microsoft.

In generale, gli attacchi informatici che sfruttano EternalBlue seguono quasi sempre questo schema:

• Viene identificato un sistema vulnerabile con una porta aperta senza patch.

• EternalBlue (o un altro exploit) viene utilizzato per ottenere l’esecuzione di codice in modalità remota.

• Viene caricata la backdoor di DoublePulsar, consentendo il controllo remoto del sistema infetto e il caricamento di un payload aggiuntivo.

• Un carico utile arbitrario viene iniettato nella memoria del sistema di destinazione utilizzando la backdoor DoublePulsar.

Nel caso di WannaCry, questo carico utile era un ransomware, ma potrebbe essere potenzialmente qualsiasi carico utile, incluso il malware che svolge un lavoro molto più efficace nel nascondersi in un sistema.
Inoltre, questo carico conteneva anche un codice che tentava di diffondere ulteriori infezioni con exploit-chain EternalBlue/DoublePulsar, rendendo WannaCry un worm, potendo diffondersi senza alcun tipo di intervento da parte dell’utente.

Ritornando sul protocollo SMB, si sa che viene utilizzato principalmente in Windows per le cartelle condivise, rendendo possibile la comunicazione tra due nodi su una rete tramite messaggi di richiesta-risposta. L’errore di Microsoft è stato nella gestione di questi messaggi di richiesta.

Se una richiesta viene inviata alla porta 445, “aperta” per impostazione predefinita, contiene più dati del previsto, un utente malintenzionato è in grado di attivare un buffer overflow. Viene così resa possibile l’esecuzione di codice non firmato e dannoso.

Fortunatamente, è possibile rimuovere EternalBlue dai dispositivi attraverso metodi automatici e manuali.
Per prevenire l’infezione di ransomware o malware che sfruttano la vulnerabilità EternalBlue è necessario:

1. Scansionare sempre tutti gli allegati email scaricati.
2. Non aprire allegati email sospetti. WannaCry e Petya si sono diffusi attraverso dei link infetti arrivati in allegato su messaggi di posta elettronica.
3. Non aggiornare alcuna applicazione da siti Web non ufficiali.
4. Verificare l’host dei link prima del click dal browser.
5. Evitare l’utilizzo di cartelle condivise in reti pubbliche.
6. Mantenere aggiornato il vostro sistema operativo Windows.
7. Scegliere un software anti-malware completo.

Per evitare la maggioranza dei problemi di sicurezza, il nostro ultimo consiglio più importante è investire sui servizi di sicurezza informatica e controllare i nomi di dominio, poiché il 91% degli attacchi informatici inizia con un’e-mail di phishing.