Uwaga na DOUBLEPULSAR: furtka NSA na tysiącach maszyn z Windowsem

Upublicznione na Święta Wielkanocne przez grupę Shadow BrokersexploityNSA do systemów Windows zostały przez Microsoft szybkookreślone jako niegroźne – w marcu wydano biuletynybezpieczeństwa, w których trafchciał, że załatano też te luki, które były przez rządowecyberbronie wykorzystywane. Błędem jest jednak uważać, że tylkoexploity 0-day mają wartość dla cyberprzestępców. Te starsze teżsą niezłe i można nimi wiele zdziałać. Tak właśnie się stałotym razem. Jeden z udostępnionych przez Shadow Brokers exploitówrobi w Sieci prawdziwą karierę.

Wczoraj ekspert od bezpieczeństwa Dan Tentler, zalożyciel firmyPhobos Group, poinformował o rosnącej liczbie hostów w publicznejsieci, na których zainstalowano furtkę DOUBLEPULSAR. To jedna zfurtek dostępnych z poziomu toolkitu FUZZBUNCH, przygotowanego przezelitarną grupę rządowych hakerów The Equation Group na potrzebyagentów NSA, która została udostępniona na Święta Wielkanocne –instaluje się ją z wykorzystaniem exploita ETERNALBLUE,uderzającego w usługi współdzielenia plików Windowsa.

Po zainstalowaniu DOUBLEPULSARA na komputerze z podatnymWindowsem, przechodzi on pod kontrolę napastnika – można terazuruchomić na takim systemie dowolny kod, wykorzystując go dodalszego rozpowszechniania malware, kampanii spamowych czy atakówDDoS.

Wydana w marcu łatka w biuletynie MS17-010 uodporniła systemyWindows takie jak Vista SP2, 7, 8.1, RT 8.1, 10, Server 2008 SP2,Server 2008 R2 SP1, Server 2012, Server 2012 R2, Server 2016 orazServer Core – o ile ich użytkownicy łatkę otrzymali izainstalowali. Wszyscy ci, którzy korzystają wciąż z Windowsa XPczy Servera 2003 (a są to przecież miliony maszyn podłączonych doInternetu), są jednak podatni na atak. I widać tego efekty.

Przeprowadzony wczoraj przez Tentlera za pomocą wyszukiwarkishodan.io skan ujawnił ponad 15 tys. zainfekowanych hostów –zgłaszają się one w charakterystycznysposób na porcie 445. Dzisiaj powtarzając ten sam skanwykryliśmy już 25 tys. hostów, w zdecydowanej większości z USA iChin. Dostępne są jednak wyniki testów wskazujące na jeszczewiększy zasięg infekcji – wczoraj Robert Graham zademonstrowałponad 41 tysięcy zainfekowanych przez DOUBLEPULSAR hostów.

Wygląda na to, że świąteczny prezent od Shadow Brokers zaczynaprzynosić efekty. Jeśli ktoś do tej pory nie zastosował MS17-010,to pewnie już tego nie zrobi, a wykryć stworzoną przez NSA furtkęw Windowsie jest bardzo ciężko. Następne tygodnie pokażą, coutworzony w ten sposób botnet będzie w stanie osiągnąć. Jednojest pewne – toolkit FUZZBUNCH jest dostępny dla każdegozainteresowanego i nawet gimnazjalista poradzi sobie z wykorzystaniemgo przeciwko niezałatanym Windowsom.