CVE-2017-0146 — CVSS: 9.3 (Kritik)

SMBv1 Uzaktan Kod Yürütme (EternalSynergy) — SMBv1'de bellek bozulmasına yol açan zafiyet.

Zafiyet Detayları

CVE KimliğiCVE-2017-0146
CVSS Puanı9.3 / 10.0 — Kritik
Yayın Yılı2017
Saldırı VektörüNETWORK
Etkilenen SistemlerWindows Vista, 7, Server 2008

Bu Zafiyeti Kullanan Malware Familleleri

  • WannaCry

Toplam 1 malware ailesi bu güvenlik açığından yararlanmaktadır.

Zafiyet Açıklaması

SMBv1 Uzaktan Kod Yürütme (EternalSynergy) — SMBv1'de bellek bozulmasına yol açan zafiyet.

Yama ve Azaltma Önerileri

  1. Confiancelik güncellemesini derhal uygulayın — NVD: CVE-2017-0146
  2. Etkilenen sistemleri ağdan geçici olarak izole edin (yaması mümkün değilse)
  3. IDS/IPS kurallarını güncelleme yapılana kadar aktive edin
  4. Ağ trafiğini izleyin — olağandışı bağlantı girişimlerini bloklayın
  5. Yedeklerinizi doğrulayın ve güncel tutun
  6. Etkilenen sistemlerde tehdit avcılığı yapın

MITRE ATT&CK Haritalama

Bu zafiyet; T1190 (Halka Açık Uygulamaların Kötüye Kullanımı) ve T1203 (İstemci Yürütme Zafiyetleri) tekniklerine karşılık gelir.

WannaCry — Profil du malware

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

Type de malware
Ransomware
Langage de programmation
C
Protocole C2
Systèmes ciblés
Windows
Aussi connu sous (AKA)
WannaCrypt

Détails techniques

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Capacités et comportement

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Serveurs C2 (3 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
cvegüvenlik-açığıcriticalwannacry