CVE-2017-0144 — CVSS: 9.3 (Kritik)

SMBv1 Uzaktan Kod Yürütme (EternalBlue) — Windows SMB Server'daki güvenlik açığı saldırganlara kimlik doğrulama olmadan uzaktan kod çalıştırma imkânı sağlar.

Zafiyet Detayları

CVE KimliğiCVE-2017-0144
CVSS Puanı9.3 / 10.0 — Kritik
Yayın Yılı2017
Saldırı VektörüNETWORK
Etkilenen SistemlerWindows XP, 7, 8.1, Server 2008/2012/2016

Bu Zafiyeti Kullanan Malware Aileleri

  • WannaCry
  • NotPetya
  • Petya
  • Mirai

Toplam 4 malware ailesi bu güvenlik açığından yararlanmaktadır.

Zafiyet Açıklaması

SMBv1 Uzaktan Kod Yürütme (EternalBlue) — Windows SMB Server'daki güvenlik açığı saldırganlara kimlik doğrulama olmadan uzaktan kod çalıştırma imkânı sağlar.

Yama ve Azaltma Önerileri

  1. Güvenlik güncellemesini derhal uygulayın — NVD: CVE-2017-0144
  2. Etkilenen sistemleri ağdan geçici olarak izole edin (yaması mümkün değilse)
  3. IDS/IPS kurallarını güncelleme yapılana kadar aktive edin
  4. Ağ trafiğini izleyin — olağandışı bağlantı girişimlerini bloklayın
  5. Yedeklerinizi doğrulayın ve güncel tutun
  6. Etkilenen sistemlerde tehdit avcılığı yapın

MITRE ATT&CK Haritalama

Bu zafiyet; T1190 (Halka Açık Uygulamaların Kötüye Kullanımı) ve T1203 (İstemci Yürütme Zafiyetleri) tekniklerine karşılık gelir.

WannaCry — Malware Profili

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

Malware Tipi
Ransomware
Programlama Dili
C
C2 Protokolü
Hedef Sistemler
Windows
Diğer Adlar (AKA)
WannaCrypt

Teknik Detaylar

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Yetenekler ve Davranış

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

C2 Sunucuları (Bu aile için 3 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
cvegüvenlik-açığıcriticalwannacrynotpetyapetyamirai