Один из инструментом из хакерского арсенала АНБ

ETERNALSYNERGY — это один из инструментом из хакерского арсенала АНБ, похищенный у спецслужб группой The Shadow Brokers и опубликованный в открытом доступе в апреле 2017 года. Согласно техническому анализу специалистов Microsoft, эксплоит способен выполнить произвольный код на Windows-машине, если SMB открыт для внешних соединений, эксплуатируя уязвимость CVE-2017-0143. При этом ETERNALSYNERGY работал лишь для Windows 8. Исследователи Microsoft отмечали, что ряд изменений в безопасности ядра не позволяют вредоносу влиять на более новые версии ОС.

Тайский исследователь Воравит Ван (Worawit Wang) сумел модифицировать ETERNALSYNERGY таким образом, чтобы эксплоит представлял опасность и для более новых версий Windows. Специалист пишет, что в его версии инструмент по-прежнему атакует ту же уязвимость, но использует другую методику атак.

ETERNALSYNERGY Вана был успешно протестирован и работает для;

• Windows 2016 x64;
• Windows 2012 R2 x64;
• Windows 8.1 x64;
• Windows 2008 R2 SP1 x64;
• Windows 7 SP1 x64;
• Windows 8.1 x86;
• Windows 7 SP1 x

По сути, это означает, что теперь для уязвимости CVE-2017-0143 существуют три актуальных эксплоита: ETERNALSYNERGY, ETERNALROMANCE и версия Вана. Сочетая эти инструменты, атакующий сможет скомпрометировать практически любую систему из семейства Windows, не считая разве что Windows 10. Разумеется, если пользователь не установил патч MS17-010.

Напомню, что Ван – не первый, кто занялся доработкой инструментов из арсенала АНБ. Ранее, в июне 2017 года, специалисты RiskSense модифицировали и улучшили эксплоит ETERNALBLUE, использовавшийся для распространения таких угроз, как WannaCry и Petya. Специалистам удалось адаптировать инструмент для работы с Windows 10.