Le fournisseur de sécurité ESET a récemment détaillé les derniers rapports sur les attaques Windows. Le chercheur Ondrej Kubovič a publié une étude sur l'exploit EternalBlue et ses effets après un an. En bref, l'exploit est devenu plus populaire que pendant l'épidémie de WannaCry. Il y a une augmentation inquiétante du nombre d'attaques basées sur l'exploit.

« Et comme le montrent les données de télémétrie d'ESET, sa popularité s'est accrue au cours des derniers mois et un pic récent a même dépassé les plus hauts de 2017 », explique le chercheur.

EternalBlue exploite est plus fort que jamais

L'exploit a été volé à la NSA par le groupe de hackers appelé Shadow Brokers en avril 2916 et bénéficie d'une vulnérabilité découverte dans le protocole SMB (Windows Server Message Block). Microsoft a déployé les correctifs avant même que la vulnérabilité ne devienne publique.

Malheureusement, les attaquants recherchent toujours des cibles et, selon le chercheur d’ESET, des cybercriminels analysent Internet à la recherche de ports SMB exposés et tentent de compromettre les hôtes avec un exploit qui permet d’envoyer des charges utiles sur la machine cible.

Une des explications possibles de ce dernier sommet est la campagne Satan contre les ransomwares observée à ces dates, mais elle pourrait également être liée à d’autres activités malveillantes. L'exploit a également été identifié comme l'un des mécanismes de propagation des cryptomères malveillants. Plus récemment, il a été déployé pour distribuer la campagne Satan ransomware, décrite quelques jours à peine après que la télémétrie ESET eut détecté le pic EternalBlue de mi-avril 2018.

Microsoft a déjà mis à disposition des correctifs de sécurité

Les correctifs permettant de corriger cette vulnérabilité sont déjà disponibles, ce qui signifie que les attaquants ne peuvent pirater que les systèmes sur lesquels ils ne sont pas installés. Ils ont été publiés par Microsoft en mars 2017 et les ordinateurs mis à jour devraient déjà être protégés.

En outre, ESET note que « la méthode d'infiltration utilisée par EternalBlue n'aboutit pas sur les périphériques protégés par ESET. L'une des multiples couches de protection, le module de protection contre les attaques réseau d'ESET, bloque cette menace au point d'entrée. ”

Le nombre croissant d'attaques suggère qu'il y a encore beaucoup de systèmes sur lesquels les correctifs ne sont pas installés, ce qui suscite beaucoup d'inquiétude.