Две недели назад сотрудник компании Imperva Элад Эрез (Elad Erez) представил простой и совершенно бесплатный инструмент Eternal Blues, который позволяет проверить компьютер на уязвимость перед эксплоитом ETERNALBLUE. Напомню, что данный эксплоит был похищен у АНБ и после опубликован в свободном доступе, а его работа направлена на эксплуатацию уязвимости в протоколе SMB. ETERNALBLUE использовался для распространения шифровальщика WannaCry в мае 2017 года, а также в ходе недавних атак малвари Petya.
Эрез писал, что Eternal Blues нельзя назвать конкурентом NMap или Metasploit, так как утилита создавалась не в расчете на ИБ-специалистов, а была адресована рядовым пользователям и занятым системным администраторам, которым нужно простое решение, работающее буквально «в два клика».
Eternal Blues работает крайне просто: сканирует доступные компьютеры и проверяет, можно ли эксплуатировать уязвимость при помощи специально созданных пакетов. Стоит сказать, что в теории Eternal Blues может использоваться не только для проверки LAN, но для любых сетевых диапазонов.
Теперь, спустя две недели после релиза утилиты, Эрез решил поделиться собранной за это время обезличенной статистикой. В своем блоге разработчик пишет, что сканер скачали «бессчетное количество раз», и пользователи произвели сканирование более 8 млн адресов. Большинство просканированных IP-адресов находились на территории Франции, России, Германии, США и Украины.
Eternal Blues помог выяснить, что в 53,8% случаев на сканируемых хостах по-прежнему активен протокол SMBv1, который не рекомендуют использовать даже сами разработчики Microsoft. Единственной хорошей новостью в данном случае является тот факт, что даже включенный SMBv1 не поможет срабатыванию эксплоита ETERNALBLUE, если в системе установлен патч MS17-010.
Согласно собранным Эрезом данным, только один из девяти проверенных хостов оказался уязвим перед ETERNALBLUE, то есть уязвимыми оказались более 50 000 машин (11% от общего количества просканированных). Чаще всего уязвимости демонстрируют хосты во Франции, России и Украине.