Historia apokalipsy Windowsów, która była tuż tuż – i niespodziewanie zniknęła

dodał 16 kwietnia 2017 o 20:35 w kategorii Wpadki  z tagami:
Historia apokalipsy Windowsów, która była tuż tuż – i niespodziewanie zniknęła

Przez ostatnie dni śledziliśmy serię zaskakujących wydarzeń na scenie bezpieczeństwa, gdzie sensacja goniła sensację, nagłówki były przerażające, a skończyło się na jeden wielkiej zagadce i spokoju dla administratorów łatających systemy.

Pamiętacie jak miesiąc temu wezwaliśmy Was do pilnego aktualizowania Windowsów? Przez skórę czuliśmy, że ta aktualizacja nie jest rutynowa i warto się do niej przyłożyć. Teraz okazuje się, że kto nas posłuchał, mógł spać spokojnie mimo ujawnienia niezwykłego zestawu exploitów na wiele wersji Windows. Ale po kolei.

Opóźniony wtorek

Microsoft od kilkunastu lat przyzwyczajał administratorów do tego, że w każdy drugi wtorek miesiąca (tzw. Patch Tuesday) pojawiały się aktualizacje systemów i aplikacji. W lutym 2017 aktualizacje jednak się nie pojawiły. Było to dużym zaskoczeniem, ponieważ wiadomość o odwołaniu publikacji aktualizacji pojawiła się na kilka godzin przed terminem ich wydania. Dodatkowo znany był poważny błąd w usłudze SMB i wszyscy spodziewali się pilnej łaty. Microsoft oznajmił jedynie, że powodem odwołania aktualizacji były nieoczekiwane „problemy które pojawiły się w ostatniej chwili”. Dzisiaj wiemy na ich temat trochę więcej. Aby jednak opowiedzieć całą historię, musimy wrócić do 8 stycznia 2017.

Tego dnia grupa TheShadowBrokers, odpowiedzialna za regularne ujawnianie elementów arsenału hakerskiego NSA, opublikowała ofertę sprzedaży narzędzi służących do atakowania systemu Windows. Jedną z pozycji w ich ofercie był między innymi zestaw exploitów na IIS, RDP, RPC i SMB za jedyne 250 BTC.

Był to element narzędzia FuzzBunch – jak się potem okazało, odpowiednika Metasploitu wyprodukowanego przez NSA. TheShadowBrokers ujawnili nawet posiadane wersje poszczególnych exploitów:

Nie wiemy, czy ktoś exploity wtedy kupił. Spekulowano, że jeśli to faktycznie ataki typu 0day, to ich cena jest adekwatna do wartości. Co ciekawe, 8 dni po publikacji oferty zespół US-CERT wydał rekomendację, by SMBv1 w ogóle wyłączyć, a najlepiej porty 139 i 445 zamknąć dla połączeń TCP. Przez kolejne trzy miesiące nie działo się w tej sprawie nic ciekawego – aż do Wielkiego Piątku.

Nadchodzi apokalipsa

Tego dnia TheShadowBrokers zrzucili na internet Matkę Wszystkich Exploitów, czyli paczkę narzędzi NSA służących między innymi do przejmowania kontroli nad systemami Windows. Komplet opublikowanych, już rozpakowanych plików znajdziecie na GitHubie. Najważniejsze spośród opublikowanych exploitów były:

  • ESTEEMAUDIT – exploit na RDP,
  • ETERNALSYNERGY – exploit na SMBv3,
  • ETERNALROMANCE – exploit na SMBv1,
  • ETERNALBLUE – exploit na SMBv2.

Co najciekawsze, opisy exploitów początkowo wskazywały, że powinny one działać na systemach Windows zarówno w wersji desktopowej (do Windows 7 włącznie) jak i serwerowej (do Windows 2008). Szybko pojawiły się opinie ekspertów wskazujących, że testowali gotowe exploity i działają one także na Windows 8, a nawet Windows 10. Zanosiło się na solidną apokalipsę. Badacze, którym exploity nie zadziałały, siedzieli cicho kombinując, co zrobili źle, a Twitter gotował się od ostrzeżeń. Korporacje na całym świecie wzywały administratorów ze świątecznych urlopów by wyłączać usługi Samby a Edward Snowden oburzał się, dlaczego NSA nie poinformowało Microsoftu o możliwym wycieku błędów.

A tymczasem Microsoft…

Z publikacją naszego artykułu postanowiliśmy poczekać na stanowisko Microsoftu – i był to bardzo dobry wybór, ponieważ obróciło ono sytuację o 180 stopni. Microsoft ogłosił, że spośród ujawnionych exploitów wszystkie oprócz 3 zostały wcześniej załatane – a 3 niezałatane dotyczyły produktów już nie wspieranych.

Co najciekawsze, najpoważniejsze exploity zostały załatane w marcu 2017 – pamiętacie opóźniony o miesiąc zestaw aktualizacji opisany na początku artykułu? Była tam łata o oznaczeniu MS17-010, która w zestawieniu podziękowań dla odkrywców miała puste pole. Łata ta zablokowała najgorsze luki, umożliwiające zdalne przejęcie kontroli nad stacjami i serwerami. Kto zatem zgłosił te błędy do Microsoftu?

Tajemniczy informator

Microsoft, zapytany przez dziennikarzy, wydał oświadczenie mówiące, że „nikt oprócz dziennikarzy nie skontaktował się z nami w sprawie wycieku TheShadowBrokers”. Jednocześnie z chronologii wydarzeń wynika, że bardzo mało prawdopodobne jest przypadkowe odkrycie i załatanie kilku krytycznych błędów tuż przed publikacją samych wykradzionych exploitów. Zatem pozostaje pytanie, kto poinformował Microsoft. Możliwości jest kilka:

  • Microsoft mógł dostać informacje od NSA, które spodziewało się publikacji exploitów,
  • Microsoft mógł sam kupić exploity na aukcji TheShadowBrokers,
  • TheShadowBrokers lub inna osoba lub organizacja mająca wiedzę o wycieku mogli poinformować Microsoft.

Co ciekawe, w biuletynie informującym o łatanych błędach Microsoft wskazał, że nie były one przedmiotem ataków w momencie publikacji. Zakładając, że Microsoft nie kłamie, można zgadywać, że firma nie wiedziała o pochodzeniu błędów, które łatała.

Osoby, które wcześniej potwierdzały, że ujawnione exploity działały na Windows 8 i 10, wycofały swoje twierdzenia. Okazało się, że albo testowały exploity na systemie bez najnowszych aktualizacji, albo nie potrafiły powtórzyć wyników eksperymentów. Cała historia pokazuje, że kwestie związane z błędami typu 0day są bardzo skomplikowane a informacje pojawiające się w pierwszych godzinach po ujawnieniu błędów lub exploitów mogą znacząco mijać się z prawdą. Z kolei dla obrońców najistotniejszym przesłaniem jest:

  • używaj wspieranych wersji,
  • instaluj aktualizacje,
  • ograniczaj powierzchnię ataku,
  • nie wystawiaj SMB i RDP do internetu.

Na deser jeszcze przydatna tabelka z informacjami o exploitach:

Wyciek TheShadowBrokers pokazał także, że NSA kontrolowało istotne elementy wewnątrz międzybankowej sieci SWIFT, ale to już historia na inną okazję.