Bleu éternel

Le dispositif d'exploitation EternalBlue n'est pas nouveau puisqu'il a été divulgué en avril 2017 par un groupe appelé "The Shadows Brokers". Le dispositif d'exploitation EternalBlue utilise des vulnérabilités dans l'implémentation du protocole SMB de Windows et peut fonctionner sur d'anciennes versions qui étaient utilisées avant la sortie de Windows 8 car elles ont un partage de communication interprocessus (IPC$) qui permet une session nulle. En utilisant la session nulle, les criminels peuvent créer une connexion à l'aide d'une connexion anonyme qui active la session nulle par défaut, permettant au serveur de recevoir plusieurs commandes du client.

Le dispositif d'exploitation EternalBlue exploite trois bogues, le « bogue d'allocation de pool non paginé », le « bogue de diffusion incorrecte » et le « bogue de fonction d'analyse incorrecte ». Le bogue d'allocation de pool non paginé installe divers composants menaçants sur les machines infectées et attaquera celles avec des mots de passe fragiles. Le dispositif d'exploitation EternalBlue ajoute également un mineur de crypto Monero, XMRig, qui accomplira son objectif principal ; l'exploitation des cryptes. L'appareil d'exploitation EternalBlue peut également être utilisé pour exécuter beaucoup plus de tâches sur les appareils qu'il infecte. Les utilisateurs d'ordinateurs concernés doivent utiliser un produit anti-malware pour détecter et supprimer immédiatement le périphérique d'exploitation EternalBlue de leurs machines.