Две недели назад сотрудник компании Imperva Элад Эрез (Elad Erez) простой и совершенно бесплатный инструмент Eternal Blues, который позволяет проверить компьютер на уязвимость перед эксплоитом ETERNALBLUE. Напомню, что данный эксплоит был похищен у АНБ и после опубликован в свободном доступе, а его работа направлена на эксплуатацию уязвимости в протоколе SMB. ETERNALBLUE использовался для распространения шифровальщика в мае 2017 года, а также в ходе недавних атак малвари .
Эрез писал, что Eternal Blues нельзя назвать конкурентом NMap или Metasploit, так как утилита создавалась не в расчете на ИБ-специалистов, а была адресована рядовым пользователям и занятым системным администраторам, которым нужно простое решение, работающее буквально «в два клика».
Eternal Blues работает крайне просто: сканирует доступные компьютеры и проверяет, можно ли эксплуатировать уязвимость при помощи специально созданных пакетов. Стоит сказать, что в теории Eternal Blues может использоваться не только для проверки LAN, но для любых сетевых диапазонов.
Теперь, спустя две недели после релиза утилиты, Эрез решил . В своем блоге разработчик пишет, что сканер скачали «бессчетное количество раз», и пользователи произвели сканирование более 8 млн адресов. Большинство просканированных IP-адресов находились на территории Франции, России, Германии, США и Украины.
Eternal Blues помог выяснить, что в 53,8% случаев на сканируемых хостах по-прежнему активен протокол SMBv1, который не рекомендуют использовать даже сами разработчики Microsoft. Единственной хорошей новостью в данном случае является тот факт, что даже включенный SMBv1 не поможет срабатыванию эксплоита ETERNALBLUE, если в системе установлен патч .
Согласно собранным Эрезом данным, только один из девяти проверенных хостов оказался уязвим перед ETERNALBLUE, то есть уязвимыми оказались более 50 000 машин (11% от общего количества просканированных). Чаще всего уязвимости демонстрируют хосты во Франции, России и Украине.
Эрез писал, что Eternal Blues нельзя назвать конкурентом NMap или Metasploit, так как утилита создавалась не в расчете на ИБ-специалистов, а была адресована рядовым пользователям и занятым системным администраторам, которым нужно простое решение, работающее буквально «в два клика».
Eternal Blues работает крайне просто: сканирует доступные компьютеры и проверяет, можно ли эксплуатировать уязвимость при помощи специально созданных пакетов. Стоит сказать, что в теории Eternal Blues может использоваться не только для проверки LAN, но для любых сетевых диапазонов.
Теперь, спустя две недели после релиза утилиты, Эрез решил . В своем блоге разработчик пишет, что сканер скачали «бессчетное количество раз», и пользователи произвели сканирование более 8 млн адресов. Большинство просканированных IP-адресов находились на территории Франции, России, Германии, США и Украины.
Eternal Blues помог выяснить, что в 53,8% случаев на сканируемых хостах по-прежнему активен протокол SMBv1, который не рекомендуют использовать даже сами разработчики Microsoft. Единственной хорошей новостью в данном случае является тот факт, что даже включенный SMBv1 не поможет срабатыванию эксплоита ETERNALBLUE, если в системе установлен патч .
Согласно собранным Эрезом данным, только один из девяти проверенных хостов оказался уязвим перед ETERNALBLUE, то есть уязвимыми оказались более 50 000 машин (11% от общего количества просканированных). Чаще всего уязвимости демонстрируют хосты во Франции, России и Украине.
