Eternal Blues - Công cụ kiểm tra lỗ hổng EternalBlue của NSA

Nhà nghiên cứu Elad Erez đã tạo ra công cụ có tên Eternal Blues, giúp người quản trị hệ thống có thể kiểm tra xem máy tính trong hệ thống của họ có bị lỗ hổng EternalBlue và bị khai thác hay không. Erez phát hành công cụ này vào hôm thứ Tư, một ngày sau khi ransomware NotPetya tấn công hàng ngàn máy tính trên khắp thế giới.

• Petya là gì? NotPetya là gì? Nó có thực sự là ransomware không hay còn nguy hiểm hơn nữa?

Cũng như nhưng gì mà WannaCry làm vào tháng trước, NotPetya cũng khai thác lỗ hổng EternalBlue để xâm nhập vào các máy tính. Trong giới hacking và an ninh mạng, EternalBlue được cho là một trong những lỗ hổng mạnh nhất từng thấy. Bằng chứng cho sự hiệu quả và khả năng tạo hiểm họa dễ dàng của nó chính là hai vụ tấn công ransomware diễn ra chỉ trong 2 tháng.

EternalBlue sử dụng lỗ hổng CVE-2017-0144 trong giao thức chia sẻ tập tin SMBv1. Máy tính Windows có SMBv1 được kích hoạt mặc định sẽ dùng gói SMB (SMB packet) của kẻ tấn công và cho phép họ thực thi đoạn mã ngẫu nhiên trên máy tính của người dùng.

Eternal Blues - Công cụ đơn giản cho người dùng

Về mặt kĩ thuật, kẻ tấn công có thể hack máy tính Windows chỉ với một gói SMB, đây cũng là cách thức hoạt động trên công cụ của Erez.

Eternal Blues sẽ phát hiện các máy tính trong phạm vi kết nối mạng và xem nó có dễ bị tấn công trước các gói SMB giả hay không mà không khai thác lỗi để chạy bất kì đoạn mã nào. Khi người dùng mở Eternal Blues, nó sẽ cho phép họ quét mạng LAN nhưng Erez nói rằng công cụ này có thể quét bất kì mạng Internet nào chứ không chỉ mạng local.

Màn hình giao diện phần mềm Eternal Blues

Erez thừa nhận rằng công cụ của mình không nâng cao như NMap, Metasploit hay các công cụ khác nhưng anh có ý định tạo ra một công cụ đơn giản, chỉ với một cú click là giải quyết được vấn đề, phát hiện ra lỗ hổng Eternal Blue để người dùng có thể biết được.

Đối tượng của Eternal Blues là những nhà quản trị hệ thống, những người đã biết WannaCry và NotPetya có thể tấn công máy tính thế nào và muốn biết liệu mạng lưới máy tính của họ có bị lỗ hổng hay không để cập nhật khi cần.

Công cụ thu thập dữ liệu ẩn danh

Cần nhớ rằng công cụ này sử dụng Google Analytics để thu thập dữ liệu ẩn danh. Thông tin thu được bao gồm số máy tính đã quét và số máy tính bị lỗ hổng được phát hiện mỗi lần quét. Erez nói rằng công cụ này không lấy tên máy (hostname), địa chỉ IP và các dữ liệu cá nhân khác.

Chia sẻ cùng tờ Bleeping Computer, Erez nói rằng anh sẽ chia sẻ một số dữ liệu tĩnh trong tương lai. “Đến hiện tại, đã có hơn 350 lượt quét từ 50 quốc gia trong dưới 24 giờ”. Erez hiện là giám đốc sáng tạo tại Imperva và tạo ra công cụ này như một dự án cá nhân. Người dùng có thể báo cáo lỗi và tải Eternal Blues về trên trang blog cá nhân của anh.