Кибершпионским организациям США и простым киберпреступникам сейчас приходится несладко. О многих уязвимостях программного обеспечения различных производителей стало известно благодаря работе хакерской группировки Shadow Brokers, WikiLeaks и другим организациям, включая Symantec. В результате ИТ-компании правят и исправляют свое ПО, что делает невозможным эксплуатацию большого количества «дыр» в программном обеспечении кем бы то ни было.
Корпорация Microsoft, как выяснилось недавно, еще в марте исправила все уязвимости нулевого дня, о которых рассказала группа Shadow Brokers. В августе 2016 года она выложила первую порцию экслоитов. Сами они не создавали ничего из того, о чем сообщили, это ПО принадлежит другой хакерской группировке Equiation Group, о которой известно, что она связана с АНБ.
Shadow Brokers решили выложить набор эксплоитов, выражая таким образом протест против политики Дональда Трампа, за которого представители этой группы голосовали.
В оперативном режиме изучив содержимое архива эксплоитов, сотрудники корпорации Microsoft начали исправлять представленные уязвимости. На днях корпорация объявила о том, что все уязвимости, упомянутые хакерами, ликвидированы. Это было сделано при помощи обновлений, которые Microsoft классифицирует, как MS17-010, CVE-2017-0146, и CVE-2017. В своем обращении корпорация упоминает о том, что с АНБ никто не контактировал, о проблемах в ПО сотрудники этой организации ничего не сообщали Microsoft.
| Кодовое название | Решение |
| “EternalBlue” | Addressed by MS17-010 |
| “EmeraldThread” | Addressed by MS10-061 |
| “EternalChampion” | Addressed by CVE-2017-0146 & CVE-2017-0147 |
| “ErraticGopher” | Addressed prior to the release of Windows Vista |
| “EsikmoRoll” | Addressed by MS14-068 |
| “EternalRomance” | Addressed by MS17-010 |
| “EducatedScholar” | Addressed by MS09-050 |
| “EternalSynergy” | Addressed by MS17-010 |
| “EclipsedWing” | Addressed by MS08-067 |
О том, что ни одна из уязвимостей, раскрытых Shadow Brokers, не работает, стало известно за сутки до публикации Microsoft. Это может означать то, что пользователи ОС Windows в относительной безопасности, во всяком случае те, кто регулярно обновляет свою ОС. В крупных организациях, где обновления устанавливаются централизованно, все эти уязвимости могут быть еще актуальны. Во всяком случае, речь идет об EternalBlue, EternalChampion, EternalSynergy и EternalRomance.
Но интересно даже не это, а то, каким образом в Microsoft смогли узнать о скорой публикации информации об эксплоитах за месяц до анонса от Shadow Brokers. Возможно, сама группа контактировала с Microsoft, поскольку, как говорилось выше, корпорация отрицает контакты с АНБ.
Если это предположение верное, то Microsoft, вероятно, заплатила Shadow Brokers за эту информацию, не афишируя свои действия.
И еще одно предположение — это то, что Microsoft самостоятельно обнаружила проблемные места в своем ПО, без помощи АНБ или хакерской группировки. Это вполне возможно, поскольку другие уязвимости, анонсированные группировкой и имеющие отношение к Windows XP, Windows Server 2003, Exchange 2007, и IIS 6.0 остались неисправленными.
Интересно, что после релиза эксплоитов большинство экспертов по сетевой безопасности объявили, что эти программные инструменты вполне рабочие по отношению к продуктам Microsoft. Чуть позже специалисты по кибербезопасности признали ошибку, но то, что многие из них ранее заявили о рабочих уязвимостях говорит о том, что они просто не проверяли, так ли оно в действительности, сверившись с журналом обновлений Windows и не увидев никакого упоминания о патче уязвимостей нулевого дня.
