Кратко: EternalBlue (CVE-2017-0144) — это эксплойт, созданный Агентством национальной безопасности США (NSA) для взлома компьютеров через протокол SMBv1 (порт 445). Он позволяет запустить код на удалённой машине без логина и пароля . Эксплойт работал на всех версиях Windows от XP до Server 2016 как минимум 16 лет . А в мае 2017 года хакеры из группы Shadow Brokers выложили этот инструмент NSA в открытый доступ. Через несколько дней начался WannaCry.

▫️ Как это работает Windows SMBv1 содержит ошибку в функции srv!SrvOs2FeaListToNt, которая обрабатывает расширенные атрибуты файлов (FEA) . Злоумышленник отправляет специальный пакет, сервер неправильно вычисляет размер данных и пишет за пределы выделенного буфера в ядре. Это называется переполнением буфера . После успешного переполнения хакер запускает на вашем компьютере что угодно. Чаще всего подключал «закладку» DoublePulsar, которая впускала другие вредоносы.

▫️ Почему это критично · Remote Code Execution (RCE): Злоумышленник выполнит любой код без авторизации . · Self-Propagating (червь): Заразил один компьютер — разлетелся по всей сети сам . · Критический CVSS (9.8): Выше только 10.0 . · Реальный ущерб: WannaCry остановил работу больниц, заводов, транспортных узлов. Ущерб от WannaCry и NotPetya составил миллиарды долларов . · Живучесть: Через 3 года после атаки в 2020 году уязвимость всё ещё находили у 20-30% компаний .

▫️ WannaCry как кейс 12 мая 2017 года по всему миру начали шифроваться компьютеры. Файлы получали расширение .WNCRY. На экране появлялось требование выкупа в биткоинах . WannaCry распространялся не через фишинг, а через EternalBlue. Одного заражённого компьютера в сети хватало, чтобы заразились все . Взломанная машина запускала вредоносный код, который сканировал локальную сеть и интернет на наличие компьютеров с открытым 445 портом, и повторял цикл. Червь распространялся со скоростью лесного пожара . Среди жертв оказались больницы Британской Национальной службы здравоохранения (NHS), Telefónica (Испания), FedEx (США), российские МВД, МЧС и «Сбербанк». Microsoft выпустила экстренные обновления даже для Windows XP, которую уже не поддерживала несколько лет .

▫️ Почему это не умерло сегодня (2026) Многие компании всё ещё используют старые версии Windows с SMBv1 по «уважительным» причинам. Старое дорогое оборудование может работать только с этой версией протокола, а критический софт требует сертификации на годы вперёд, и патч сломает всё . Кроме того, многие просто не знают, что у них открыт порт 445 в интернет, либо забывают пропатчить. Даже в 2020 году сканеры находили более миллиона серверов в открытом интернете с активным SMBv1 . Поэтому EternalBlue до сих пор используется в атаках шифровальщиков и майнеров.

▫️ Как защититься · Установить обновление MS17-010 — немедленно. · Отключить SMBv1 полностью (через PowerShell: Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol). Используйте SMBv2/v3 . · Заблокировать порт 445 на файрволе для входящих подключений из интернета . · Сегментировать сеть: Критические и устаревшие системы должны жить в изолированных сетях. Главный вывод: EternalBlue — это, возможно, самый влиятельный эксплойт в истории. Он вскрыл проблему, которая была не технической, а управленческой: качественное обновление систем. Нет никакого «умного хакера», который сидит и пишет сложный эксплойт под вашу систему. Есть изношенный инструмент 2017 года, которым продолжают ломиться в дверь, потому что её всё ещё не заперли.

#eternalblue #wannacry #кибербезопасность #nsa #smb #эксплойты