EternalBlue

Dieser Artikel behandelt den Exploit EternalBlue. Für das Album der Band Spiritbox siehe Eternal Blue, zur Band siehe EternalBlue (Band).

EternalBlue ist ein Exploit, der Programmierfehler in der SMB-Implementierung (auch NetBIOS bzw. Common Internet File System) des Betriebssystems Windows ausnutzt. Die Lücke wird als CVE-2017-0144[1][2] (SMB Remote Windows Kernel Pool Corruption) bezeichnet. Der Exploit wurde vom US-Geheimdienst NSA entwickelt und bis 2017 geheim gehalten. Durch die weltweite Verbreitung des Exploits und dem Einsatz in Ransomware wurden international erhebliche Schäden in vielen Einrichtungen der kritischen Infrastruktur verursacht.

Entwicklung durch die NSA und Verlust

Eine Unterabteilung der US-amerikanischen NSA, die Spezialeinheit Tailored Access Operations (T.A.O.) hatte nach Presserecherchen die Software zum Ausnutzen der Schwäche ursprünglich ausgearbeitet.[3] Ein Jahr lang hatten die Geheimdienstleute am Aufspüren von Schwachstellen der Microsoft-Software gearbeitet und ihr Projekt intern „EternalBluescreen“ (deutsch Ewiger blauer Bildschirm) getauft, weil die von ihnen ausgearbeitete Attacke oft zu ungewollten Abstürzen und damit zu einer blauen Fehlerbildschirmanzeige (Bluescreen) führte.[4]

Teile des T.A.O.-Arsenals gerieten schließlich in die Hände einer Gruppe, die sich The Shadow Brokers nennt und die geraubten Informationen ab August 2016 stückweise veröffentlichte. Die Identität der Gruppe The Shadow Brokers und ob diese durch etwa durch einen Hackerangriff oder durch einen Mitarbeiter der NSA an die EternalBlue-Software kam, war Mitte 2019 weiter unklar.[3]

Die NSA benutzte die Schwachstelle über mehr als fünf Jahre für ihre eigenen Einbruchszwecke (Hacking),[5] bevor man sich allein wegen der ständigen Enthüllungen durch The Shadow Brokers gezwungen sah, die Schwachstelle an Microsoft zu melden.[4]

Patch, Verbreitung und Schäden

Nachdem der Patchday im Februar 2017 ausgefallen war, konnte von Microsoft ab 12. März 2017 der Patch MS17-010[6] zum Deaktivieren des SMBv1-Netzprotokolls angeboten werden.

Am 14. April 2017 veröffentlichten die Hacker The Shadow Brokers die Angriffsmöglichkeit. Am 12. Mai 2017 wurde die Lücke für die weltweiten Angriffe des Erpressungstrojaners WannaCry missbraucht.[7][8] Am 27. Juni 2017 wurde die Lücke für die Angriffe einer vermeintlich neuen Variante des Erpressungstrojaners Petya missbraucht: NotPetya löschte über das Software-Update einer ukrainischen Steuersoftware aber hauptsächlich dort Festplatten.[9] EternalBlue wurde mit DoublePulsar installiert.[10]

Durch die verbreitete Malware wurden unter anderem Krankenhäuser, Bahnhöfe, Häfen und Fabriken zeitweise im Betrieb lahmgelegt.[4]

Bis Mai 2019 hatten weltweit sowohl private (u. a. Cyberkriminelle mit Ransomware) als auch geheimdienstliche Akteure zahlreich Gebrauch von EternalBlue gemacht oder eigene Programme rund um die Software aufgelegt. Darunter auch mit den USA in Konkurrenz stehende Mächte, so soll laut der New York Times der Geheimdienst der Volksrepublik China EternalBlue zur Spionage gegen Länder im Mittleren Osten eingesetzt haben, dem Iran wird vorgeworfen, Fluglinien der Golfregion mit EternalBlue angegriffen zu haben, Nordkorea gilt als verantwortlich für WannaCry und die Macher von Petya werden der Russischen Föderation zugerechnet.[4]

Schlussfolgerungen

Anonym erzählten der New York Times Sicherheitsbeamte, dass für die Sicherheit eine größere Verantwortlichkeit und Rechenschaftspflicht der NSA notwendig wäre. Der NSA-Chef wies hingegen jede Verantwortung zurück und sagte die NSA habe lediglich das Auto hergestellt, es sei nicht ihre Schuld, wenn damit in eine Menschenmenge gefahren wird.[4] Microsoft verwies darauf, dass die NSA die Sicherheitslücke geheim hielt und es dadurch zum Schaden kam. Auch dem Unternehmen Microsoft wurde jedoch etwa von Alex Abdo (Columbia University) wegen dessen fehlerhafter Software zumindest eine Mitschuld zugewiesen.[11]

Einzelnachweise

  1. CVE-2017-0144. In: CVE – Common Vulnerabilities and Exposures. The MITRE Corporation, 9. September 2016, S. 1, abgerufen am 28. Juni 2017 (englisch). 
  2. Microsoft Windows SMB Server CVE-2017-0144 Remote Code Execution Vulnerability. In: SecurityFocus. Symantec, 14. März 2017, S. 1, abgerufen am 28. Juni 2017 (englisch). 
  3. a b Security Breach and Spilled Secrets Have Shaken the N.S.A. to Its Core. In: The New York Times. Arthur Ochs Sulzberger Jr., 12. November 2017, abgerufen am 25. Mai 2019 (englisch). 
  4. a b c d e In Baltimore and Beyond, a Stolen N.S.A. Tool Wreaks Havoc. In: The New York Times. Arthur Ochs Sulzberger Jr., 25. Mai 2019, abgerufen am 25. Mai 2019 (englisch). 
  5. NSA officials worried about the day its potent hacking tool would get loose. Then it did. In: The Washington Post. Fred Ryan, abgerufen am 25. September 2017 (englisch). 
  6. Microsoft Security Bulletin MS17-010 – Critical. In: technet.microsoft.com. Microsoft, abgerufen am 13. Mai 2017 (englisch). 
  7. Lily Hay Newman: The Ransomware Meltdown Experts Warned About Is Here. In: Wired. 12. März 2017, S. 1, abgerufen am 13. Mai 2017 (englisch). 
  8. Dan Goddin: Wanna Decryptor: The NSA-derived ransomware worm shutting down computers worldwide. In: Ars Technica UK. 15. Mai 2017, S. 1, abgerufen am 15. Mai 2017 (englisch). 
  9. Nicole Perlroth, Mark Scott, Sheera Frenkel: Cyberattack Hits Ukraine Then Spreads Internationally. In: The New York Times. Arthur Ochs Sulzberger Jr., 27. Juni 2017, S. 1, abgerufen am 27. Juni 2017 (englisch). 
  10. stamparm/EternalRocks. In: GitHub. Abgerufen am 25. Mai 2017 (englisch). 
  11. Bloomberg - Microsoft Faulted Over Ransomware While Shifting Blame to NSA. In: bloomberg.com. 16. Mai 2017, abgerufen am 31. Juli 2024 (englisch).