Niezwykła historia. Microsoft nawet nie wiedział, jak wielką przysługę robi ludziom aktualizującym swoje komputery z Windowsem we wrześniu. Okazało się, że uchroniło to wielu przed katastrofą porównywalną z atakiem ransomware WannaCry sprzed 5 lat.
Kto pamięta WannaCry z 2017 roku?
W maju 2017 roku wystarczyło być na bieżąco z wiadomościami, by wiedzieć, że ransomwarwe WannaCry zebrał ogromne żniwo w postaci 200000 zainfekowanych komputerów, należących głównie do firm i instytucji. Szkodliwe oprogramowanie rozprzestrzeniało się błyskawicznie w sieciach komputerowych, inicjując reakcję łańcuchową samoreplikujących się exploitów.
Wskutek ataków zaszyfrowano wtedy dane znajdujące się na komputerach brytyjskiej służby zdrowia, międzynarodowego przewoźnika FedEx czy operatora telekomunikacyjnego Telefonica. Ucierpiały też takie firmy jak Renault – producent samochodów musiał tymczasowo wstrzymać działanie fabryk we Francji i Rumunii.
Choć WannaCry wyrządził wiele szkód, dopiero teraz okazało się, że niepozorna aktualizacja bezpieczeństwa Windowsa uchroniła nas przed przeżyciem podobnego koszmaru po raz drugi.
Nowy robak na horyzoncie
Badacze bezpieczeństwa komputerowego dopiero teraz zorientowali się, że kilka miesięcy temu mogliśmy paść ofiarą jeszcze gorszego ataku ransomware od tego sprzed kilku lat.
Otóż fundamentem, na którym bazowało WannaCry, była luka w systemie Windows, którą nazwano EternalBlue. Niektóre jej elementy stanowią także podstawę dla podatności o nazwie CVE-2022-37958. Atakujący mieli tym razem szansę wykorzystać więcej furtek dla złośliwego oprogramowania w systemie niż te 5 lat temu, a to dlatego, że wytrych mógł działać na znacznie szerszej puli protokołów sieciowych.
Atakujący może uruchomić lukę za pośrednictwem dowolnych protokołów aplikacji systemu Windows, które się uwierzytelniają. Na przykład lukę można uruchomić, próbując połączyć się z udziałem SMB lub za pośrednictwem Pulpitu zdalnego. Niektóre inne przykłady obejmują dostępne w Internecie serwery Microsoft IIS i serwery SMTP z włączonym uwierzytelnianiem systemu Windows. Oczywiście mogą być również wykorzystywane w sieciach wewnętrznych, jeśli nie zostaną załatane. Valentina Palmiotti, badaczka bezpieczeństwa IBM, która odkryła lukę umożliwiającą wykonanie kodu
Sprawa była więc naprawdę poważna. Potencjalnie, ransomware oparty na wykorzystaniu tego błędu, byłby w stanie wywołać jeszcze większe problemy od tych, które dotknęły setki tysięcy komputerów w maju 2017 roku. Dlaczego tak się nie stało?
Nowe zagrożenie dla Windowsa zneutralizowane… przypadkiem
W toku rutynowych aktualizacji systemów Windows, Microsoft wydał łatkę bezpieczeństwa wycelowaną w CVE-2022-37958. W tamtym momencie badacze firmy nie zdawali sobie sprawy, jak ważna była to poprawka. Zauważyli jedynie, że dziura umożliwia ujawnienie wrażliwych informacji. Nie mieli pojęcia, że mogłaby ona być wykorzystana w inny sposób, niż w ten, jaki założyli.
W świetle odkryć Valentiny Palmiotti, Microsoft zmienił oznaczenie wspomnianej aktualizacji z „Ważnej” na „Krytyczną” – czyli nadał jej rangę równej tej, która rozprawiała się z EternalBlue, będącą furtką do działania WannaCry.
W tym momencie hakerom zwyczajnie nie opłaca się korzystać już z CVE-2022-37958. Wiele komputerów działających na wspieranych systemach Windows, w tym te korporacyjne, które podczas kryzysu WannaCry ucierpiały najbardziej, już dawno są zaktualizowane.
Ewidentnie więc, na korzyść wszystkich zadziałał czas. Tym razem udało się uniknąć katastrofy, choć aż strach pomyśleć, co by było, gdyby do niej doszło – ewentualne skutki niepomyślnego scenariusza z pewnością byłyby odczuwalne.