EternalBlue

Dieser Artikel behandelt den Exploit EternalBlue. Für das Album der Band Spiritbox siehe Eternal Blue, zur Band siehe EternalBlue (Band).

EternalBlue ist ein Exploit, der Programmierfehler in der SMB-Implementierung (auch NetBIOS bzw. Common Internet File System) des Betriebssystems Windows ausnutzt. Die Lücke wird als CVE-2017-0144^[1][2] (SMB Remote Windows Kernel Pool Corruption) bezeichnet.

Entwicklung durch die NSA und Verlust

Eine Unterabteilung der US-amerikanischen NSA, die Spezialeinheit Tailored Access Operations (T.A.O.) hatte nach Presserecherchen die Software zum Ausnutzen der Schwäche ursprünglich ausgearbeitet.^[3] Ein Jahr lang hatten die Geheimdienstleute am Aufspüren von Schwachstellen der Microsoft-Software gearbeitet und ihr Projekt intern „EternalBluescreen“ (deutsch Ewiger blauer Bildschirm) getauft, weil die von ihnen ausgearbeitete Attacke oft zu ungewollten Abstürzen und damit zu einer blauen Fehlerbildschirmanzeige (Bluescreen) führte. Die fertige Hackingsoftware gehörte bei der NSA zur Gruppe der sogenannten NOBUS (Nobody but us), die allein dem US-Dienst exklusiv zur Verfügung standen.^[4]

Teile des T.A.O.-Arsenals gerieten schließlich in die Hände einer Gruppe, die sich The Shadow Brokers nennt und die geraubten Informationen ab August 2016 stückweise veröffentlichte. Ob The Shadow Brokers durch einen Hackerangriff Dritter oder durch einen Mitarbeiter der NSA an die EternalBlue-Software kam, war Mitte 2019 weiter unklar.^[3]

Die NSA benutzte die Schwachstelle über mehr als fünf Jahre für ihre eigenen Einbruchszwecke (Hacking),^[5] bevor man sich allein wegen der ständigen Enthüllungen durch The Shadow Brokers gezwungen sah, die Schwachstelle an Microsoft zu melden.^[4]

Patch und Verbreitung

Nachdem der Patchday im Februar 2017 ausgefallen war, konnte von Microsoft ab 12. März 2017 der Patch MS17-010^[6] zum Deaktivieren des SMBv1-Netzprotokolls angeboten werden.

Am 14. April 2017 veröffentlichten die Hacker The Shadow Brokers die Angriffsmöglichkeit. Am 12. Mai 2017 wurde die Lücke für die weltweiten Angriffe des Erpressungstrojaners WannaCry missbraucht.^[7][8] Am 27. Juni 2017 wurde die Lücke für die Angriffe einer vermeintlich neuen Variante des Erpressungstrojaners Petya missbraucht: NotPetya löschte über das Software-Update einer ukrainischen Steuersoftware aber hauptsächlich dort Festplatten.^[9] EternalBlue wurde mit DoublePulsar installiert.^[10]

Bis Mai 2019 hatten sämtliche mit den USA in Konkurrenz stehenden Mächte auf staatlicher oder nichtstaatlicher Ebene Gebrauch von EternalBlue gemacht oder gar eigene Programme rund um die Software aufgelegt. Der Geheimdienst der Volksrepublik China setzt EternalBlue zur Spionage gegen Länder im Mittleren Osten ein, dem Iran wird vorgeworfen, Fluglinien der Golfregion mit EternalBlue angegriffen zu haben, Nordkorea gilt als verantwortlich für WannaCry und die Macher von Petya werden der Russischen Föderation zugerechnet.^[4]

Einzelnachweise

1. CVE-2017-0144. In: CVE – Common Vulnerabilities and Exposures. The MITRE Corporation, 9. September 2016, S. 1, abgerufen am 28. Juni 2017 (englisch). 
2. Microsoft Windows SMB Server CVE-2017-0144 Remote Code Execution Vulnerability. In: SecurityFocus. Symantec, 14. März 2017, S. 1, abgerufen am 28. Juni 2017 (englisch). 
3. Security Breach and Spilled Secrets Have Shaken the N.S.A. to Its Core. In: The New York Times. Arthur Ochs Sulzberger Jr., 12. November 2017, abgerufen am 25. Mai 2019 (englisch). 
4. In Baltimore and Beyond, a Stolen N.S.A. Tool Wreaks Havoc. In: The New York Times. Arthur Ochs Sulzberger Jr., 25. Mai 2019, abgerufen am 25. Mai 2019 (englisch). 
5. NSA officials worried about the day its potent hacking tool would get loose. Then it did. In: The Washington Post. Fred Ryan, abgerufen am 25. September 2017 (englisch). 
6. Microsoft Security Bulletin MS17-010 – Critical. In: technet.microsoft.com. Microsoft, abgerufen am 13. Mai 2017 (englisch). 
7. Lily Hay Newman: The Ransomware Meltdown Experts Warned About Is Here. In: Wired. 12. März 2017, S. 1, abgerufen am 13. Mai 2017 (englisch). 
8. Dan Goddin: Wanna Decryptor: The NSA-derived ransomware worm shutting down computers worldwide. In: Ars Technica UK. 15. Mai 2017, S. 1, abgerufen am 15. Mai 2017 (englisch). 
9. Nicole Perlroth, Mark Scott, Sheera Frenkel: Cyberattack Hits Ukraine Then Spreads Internationally. In: The New York Times. Arthur Ochs Sulzberger Jr., 27. Juni 2017, S. 1, abgerufen am 27. Juni 2017 (englisch). 
10. stamparm/EternalRocks. In: GitHub. Abgerufen am 25. Mai 2017 (englisch).