Всем привет, сегодня мы разберем

Уязвимость MS17-010, также известная как EternalBlue, это критическая уязвимость в протоколе SMB, которая была обнаружена и исправлена в марте 2017 года Microsoft. Уязвимость была использована в крупных атаках, таких как WannaCry и NotPetya, и продолжает оставаться значительной угрозой для организаций, которые не обновили свои системы особенно на объектах КИИ, где обновиться нельзя из-за несовместимости используемого железа и ПО.

Описание уязвимости EternalBlue можно разбить на 3 части:

1. Уязвимый компонент: Уязвимость EternalBlue затрагивает протокол SMB, который широко используется в операционных системах Windows для обмена данными и ресурсами в сети. Конкретно, уязвимость касается обработки определенных типов запросов к компьютеру, работающему под управлением операционной системы Windows.

2. Переполнение буфера:

   При эксплуатации затрагиваются именованные каналы (Named Pipes) в Windows они предоставляют механизм для взаимодействия между процессами через сеть или локально. Они могут использоваться для передачи данных и команд между приложениями. В случае уязвимости EternalBlue злоумышленник может использовать именованные каналы для отправки специально сформированных запросов SMB, которые вызывают переполнение буфера на целевой системе.

3. Возможность удаленной атаки: Особенностью уязвимости EternalBlue является ее способность к удаленной атаке. Это означает, что злоумышленнику необходимо только доступ к сети, в которой находится уязвимый компьютер с открытым SMB-портом (обычно порт 445). Это делает уязвимость особенно опасной, так как злоумышленник может атаковать множество компьютеров в короткие сроки, используя автоматизированные средства.