CVE-2017-0145 — CVSS: 9.3 (Kritik)

SMBv1 Uzaktan Kod Yürütme (EternalRomance) — SMBv1 protokolündeki başka bir RCE zafiyeti.

Zafiyet Detayları

CVE KimliğiCVE-2017-0145
CVSS Puanı9.3 / 10.0 — Kritik
Yayın Yılı2017
Saldırı VektörüNETWORK
Etkilenen SistemlerWindows XP, 7, 8.1, Server 2008

Bu Zafiyeti Kullanan Malware Familialeri

  • WannaCry
  • Ryuk
  • Emotet

Toplam 3 malware ailesi bu güvenlik açığından yararlanmaktadır.

Zafiyet Açıklaması

SMBv1 Uzaktan Kod Yürütme (EternalRomance) — SMBv1 protokolündeki başka bir RCE zafiyeti.

Yama ve Azaltma Önerileri

  1. Confianzalik güncellemesini derhal uygulayın — NVD: CVE-2017-0145
  2. Etkilenen sistemleri ağdan geçici olarak izole edin (yaması mümkün değilse)
  3. IDS/IPS kurallarını güncelleme yapılana kadar aktive edin
  4. Ağ trafiğini izleyin — olağandışı bağlantı girişimlerini bloklayın
  5. Yedeklerinizi doğrulayın ve güncel tutun
  6. Etkilenen sistemlerde tehdit avcılığı yapın

MITRE ATT&CK Haritalama

Bu zafiyet; T1190 (Halka Açık Uygulamaların Kötüye Kullanımı) ve T1203 (İstemci Yürütme Zafiyetleri) tekniklerine karşılık gelir.

WannaCry — Perfil del malware

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

Tipo de malware
Ransomware
Lenguaje de programación
C
Protocolo C2
Sistemas objetivo
Windows
También conocido como (AKA)
WannaCrypt

Detalles técnicos

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Capacidades y comportamiento

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Servidores C2 (3 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
cvegüvenlik-açığıcriticalwannacryryukemotet