Microsoft tvrdi da je većina hakerskih alata NSA već blokirana, i da su korisnici bezbedni

Vesti, 18.04.2017, 01:00 AM

Misteriozna hakerska grupa Shadow Brokers koja je proteklih meseci objavila brojne hakerske alate američke Nacionalne bezbednosne agencije, u petak je objavila kolekciju veoma moćnih exploita i hakerskih alata za većinu verzija Microsoft Windowsa, ali i dokumente koji ukazuju da je NSA mogla da prati protoke novca između nekih banaka sa Bliskog istoka i iz Latinske Amerike, zahvaljujući tome što je agencija uspela da pristupi globalnom bankarskom sistemu SWIFT.

Shadow Brokers su objavili skoro 300 megabajta materijala koji je verovatno najznačajnije curenje fajlova NSA posle Edvarda Snoudena i njegovih otkrića 2013. godine.

Sam Snouden je na Twitteru najnovije curenje fajlova NSA nazvao "majkom svih exploita", aludirajući na bombu koju je američka vojska nedavno bacila na Avganistan.

Nekoliko stručnjaka potvrdilo je da verodostojnost onoga što su hakeri objavili u petak, iako su same institucije odbacile tvrdnje hakera ili nisu želele da ih komentarišu.

SWIFT, čije je sedište u Belgiji, je saopštio da nema dokaza da je neovlašćeno pristupano njihovoj mreži.

Ipak, treba podsetiti da je SWIFT već hakovan prošle godine, kada su kriminalci ukrali više od 80 miliona dolara iz Centralne banke Bangladeša.

SWIFT (Society for Worldwide Interbank Financial Telecommunication) je udruženje za međunarodne, međubankarske finansijske telekomunikacije. To je medjunarodna bankarska mreža i softver za razmenu poruka, koji danas upotrebljava više od 10500 finansijskih institucija, iz 215 zemalja. SWIFT omogućava razmenu standarizovanih poruka kod međunarodnih finansijskih institucija, a same poruke se odnose na plaćanja, trgovinu, hartije od vrednosti i ostalo.

U SWIFT mreži, manje banke često koriste servisne biroe koji obavljaju transakcije u njihovo ime. Dokumenti koje su objavili hakeri ukazuju da je bar jedan servisni biro, EastNets, kompromitovan.

Sedište EastNetsa je u Dubaiju, a klijenti su u Kuvajtu, Dubaiju, Bahreinu, Jordanu, Jemenu i Kataru. Shadow Brokers su objavili spisak banaka koje su kompromitovane "impantima", softverom za tajno prikupljanje podataka.

Međutim, EastNets je u petak demantovao ove tvrdnje hakera. Interni tim EastNetsa je izvršio temeljnu proveru servera i nije našao dokaze o hakovanju ili ranjivostima. Fotografije koje kruže Twitterom, su o stranicama koje su zastarele i potiču od internog servera manjeg značaja koji je prestao sa radom 2013.

Među fajlovima koje su objavili hakeri je nekoliko 0-day exploita za do sada nepoznate bezbednosne propuste za koje ne znaju ni proizvođači softvera.

0-day exploiti mogu se koristiti za napade na Windows računare, osim za računare sa Windows 10. Reč je o veoma vrednim exploitima, za koje stručnjaci tvrde da vrede milione dolara.

Shadow Brokers su pokušali da prodaju exploite, pa su svojevremeno na Twitteru objavili aukciju, ali kupaca nije bilo.

Microsoft je već u petak pokrenuo istragu povodom tvrdnji hakera, da bi dan kasnije, kompanija saopštila da je većina ovih bezbednosnih propusta ispravljena prethodnih godina, a neki od njih ove godine. Evo o kojim exploitima je reč:

• Exploit ETERNALBLUE koji cilja SMBv2 protokol: Microsoft je ispravio ovaj propust ove godine sa MS17-010.

• EMERALDTHREAD je još jedan exploit za SMB protokol, koji cilja Microsoftove proizvode od Windows XP i Server 2003 do Windows 7 i Server 2008 R2. Microsoft je ispravio ovaj propust u MS10-061.

• ETERNALCHAMPION je exploit za SMBv1 protokol koji je Microsoft ispravio prošle nedelje aprilskim paketom zakrpa (ispravke za CVE-2017-0146 i CVE-2017-0147).

• ERRATICGOPHER exploit za SMBv1 protokol koji cilja samo Windows XP i Server 2003. Microsoft nije izneo više detalja o ovom propustu, samo da ga je kompanija ispravila još pre objavljivanja Windows Vista.

• ESKIMOROLL nazvan Kerberos exploit cilja 2000, 2003, 2008 i 2008 R2. Microsoft je objasnio da MS14-068 sadrži zakrpu za ove napade.

• ETERNALROMANCE je jedan od najopasnijih exploita koje su objavili hakeri. Reč je o SMBv1 propustu koji može biti iskorišćen preko TCP port 445, i koji cilja Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2. Uspešno iskorišćavanje ovog propusta napadačima obezbeđuje sistemske privilegije. Sa MS17-010 je ispravljen ovaj propust.

• EDUCATEDSCHOLAR je SMB exploit o kome se malo zna, ali iz Microsofta kažu da je ovaj propust ispavljen još 2009 sa MS09-050.

• ETERNALSYNERGY je SMBv3 propust koji omogućava daljinsko izvršenje koda u Windows 8 i Server 2012, za koji Microsoft kaže da je ispravljen sa MS17-010.

• ECLIPSEDWING RCE exploit u Windows Server 2008 i kasnijim verzijama, a ovaj propust ispravljen odavno sa MS08-067.

Microsoft je objasnio da exploiti kao što su ENGLISHMANSDENTIST (Outlook), EXPLODINGCAN (IIS 6.0), i ESTEEMAUDIT (RDP) ne rade protiv podržanih platformi.