Eternal Blue Vulnerability

‍‍‍2017 ခုနှစ်မှာ ဟိုးလေးတကြော် နာမည်ကြီးခဲ့ပြီး မြန်မာနိုင်ငံအပါအဝင် တစ်ကမ္ဘာလုံးအတိုင်းအတာနဲ့ တိုက်ခိုက်ခြင်းခံခဲ့ရတဲ့ WannaCry Ransomware ကို မှတ်မိကြဦးမှာပါ။ ဒီ Ransomware ဟာ Microsoft Windows OS တွေမှာ run နေတဲ့ SMBv1 Service ရဲ့ Vulnerability ကို အခြေပြုကာ ဝင်ရောက်ခြင်းဖြစ်ပါတယ်။ ဒီ Vulnerability ကိုတော့ EternalBlue လို့ခေါ်ပါတယ်။ EternalBlue Exploit ကို NSA က ဖန်တီးခဲ့တာ ဖြစ်ပါတယ်။ NSA က လျိူ့ဝှက်ထားခဲ့ပါတယ်။ 2017 ခုနှစ်မှာ Shadow Brokers Hacker အဖွဲ့မှ ဒီ EternalBlue ဆိုတဲ့ Zero Day Exploit ကို Leak လုပ်ကာ Public ကို အသိပေးခဲ့ပါတယ်။ တိုက်ခိုက်တဲ့ Attacker တွေ အနေနဲ့ EternalBlue Vulnerability ရှိနေတဲ့ စက်နဲ့ Connection ရှိယုံနဲ့တင် အဲဒီစက်ကို မိနစ်အနည်းငယ်အတွင်းမှာ ထိန်းချူပ်လို့ ရသွားနိုင်ပါတယ်။ Attacker က ထိန်းချူပ်လို့ရသွားပြီဆိုရင်တော့ Data တွေကို Access လုပ်လို့ရသွားတဲ့အပြင် Wanna Cry လို Ransomware တွေ ထည့်သွင်းကာ Data တွေကို ပြန် Decrypt လုပ်ဖို့အတွက် Key ကို ရဖို့ User တွေ အနေနဲ့ငွေညှစ်တောင်းခံမှုတွေ ကြုံတွေ့ ရနိုင်လို့ အလွန်အန္တရာယ် ရှိလှပါတယ်။ CVE အနေနဲ့ CVE-2018-0146 ဖြစ်ပြီး CVSS Score အနေနဲ့ 9.5 အထိရှိတာကြောင့် လုံးဝအန္တရာယ် ရှိတဲ့ Critical level ပါ။
‍‍‍‍‍‍
➡ www.cvedetails.com မှာ သွားရောက်လေ့လာနိုင်ပါတယ်။ ဒီ vulnerability အတွက် exploit ကလည်း အသင့်ရှိနေတာကြောင့် အလွန် အန္တရာယ်များလှပါတယ်။
‍‍‍‍‍‍
➡ EternalBlue Vulnerability က ဘယ် OS တွေမှာ Effect ဖြစ်နိုင်ပါသလဲ။
SMBv1 အသုံးပြုထားတဲ့ Windows OS တွေမှာ Effect ဖြစ်နိုင်ပါတယ်။ Desktop OS တွေ အနေနဲ့ဆိုရင် Microsoft Windows Vista SP2 ကနေ Windows 10 အထိ SMBv1 သာ enable လုပ်ထားမယ်ဆိုရင် ဖြစ်နိုင်ပါတယ်။ Server OS တွေမှာဆိုရင် Microsoft Windows Server 2012 ကနေ 2016 အထိ Effect ဖြစ်နိုင်ပါတယ်။ တခြား Linux, Mac OS တို့ကို ဒီ EternalBlue Vulnerability က Effect မဖြစ်ပါဘူး။
‍‍‍‍‍‍
➡ မိမိတို့စက်က EternalBlue Vulnerability Effect ဖြစ်မဖြစ် ဘယ်လိုစစ်ဆေးလို့ ရနိုင်မလဲ။
http://omerez.com/eternalblues/ မှာ EternalBlue ဆိုတဲ့ software လေးကို အသုံးပြုပြီး ကျွန်တော်တို့Network တွေထဲက ဘယ်စက်တွေမှာ EternalBlue Vulnerability ရှိနေသလဲဆိုတာကို စစ်ဆေးနိုင်ပါတယ်။ လုံး၀ Free Download ဖြစ်ပြီး Portable ဖြစ်ပါတယ်။ Nessus တို့Nexpose တို့လို Vulnerability Scanner တွေကိုလည်း အသုံးပြုကာ ဒီ EternalBlue Vulnerability ရှိမရှိစစ်ဆေးနိုင်ပါသေးတယ်။ကမ္ဘာ့နာမည်ကြီး Endpoint Protection Company တစ်ခုဖြစ်တဲ့ ESET ကလဲ EternalBlue Checker Program လေးကိုပြုလုပ်ပေးထားပါတယ်။ https://www.eset.com/…/eset-releases-eternalblue-vulnerabi…/ မှာ download ရယူနိုင်ပါတယ်။
‍‍‍‍‍‍
➡ EternalBlue Vulnerability ကို ဘယ်လိုကာကွယ်ကြမလဲ။
အကောင်းဆုံး Solution ကတော့ Microsoft ကပေးထားတဲ့ Patch ကို Install လုပ်ခြင်းပါပဲ။ https://docs.microsoft.com/…/securitybulletins/2017/ms17-010 မှာ patch တွေကို download ဆွဲယူနိုင်ပါတယ်။ SMB Service ဟာ Microsoft Windows OS တွေမှာ File Sharing လုပ်တဲ့အခါ အဓိကအသုံးပြုရတဲ့ Service တစ်ခုဖြစ်တာကြောင့် ဒီ SMB Service ကို ပိတ်လိုက်ခြင်းအားဖြင့် EternalBlue Vulnerability ကို ကာကွယ်နိုင်တယ်ဆိုပေမယ့် File Sharing အသုံးပြုလို့ရနိုင်တော့မှာ မဟုတ်ဘူးဆိုတဲ့ Impact တော့ရှိနိုင်ပါတယ်။ တကယ်လို့ ကျွန်တော်တို့ Operation Environment မှာ File Sharing ကို FTP Server ကနေပဲ အသုံးပြုတယ်ဆိုရင်တော့ Smb Service ကို ပိတ်ထားခြင်းအားဖြင့် System Hardening လုပ်သင့်ပါတယ်။ တကယ်လို့ ကျွန်တော်တို့ Network ထဲမှာ FTP Server မရှိဘူး၊ Local File Sharing လုပ်ဖို့SMB Service ကိုဘဲ မဖြစ်မနေ အသုံးပြုရတော့မယ်ဆိုရင်တော့ EternalBlue Vulnerability ရှိနိုင်တဲ့ SMBv1 Service ကို ပိတ်ကာ SMBv2, SMBv3 Service တို့ကိုပဲ အသုံးပြုသင့်ပါတယ်။ Exploit Protection ကို Support လုပ်တဲ့ EDR Solution တွေကိုလည်း အသုံးပြုကာ Endpoint Level မှာ EternalBlue Exploit Attack ကို ကာကွယ်နိုင်ပါတယ်။
‍‍‍‍‍‍
SMBv1 ကို ဘယ်လို Disable လုပ်မလဲ ဆိုတာကို အောက်ဖော်ပြပါ Link မှာ သွားရောက်ကြည့်ရှု နိုင်ပါတယ်..
➡ https://support.microsoft.com/…/how-to-detect-enable-and-di…
‍‍‍‍‍‍
EternalBlue အကြောင်း ရှင်းပြထားတဲ့ video ကို ဒီမှာ လေ့လာနိုင်ပါတယ်..
➡https://www.youtube.com/watch?v=_NBDn-0D4MQ
‍‍‍‍‍‍
ဒါကတော့ EternalBlue အကြောင်း လေ့လာနိုင်တဲ့ wiki ရဲ့ article ပါ..
➡ https://en.wikipedia.org/wiki/EternalBlue
‍‍‍‍‍‍
✍ Author : Ye Myo Thu‍‍‍‍‍

Don’t forget to share this post!