CVE-2017-0146 — CVSS: 9.3 (Kritik)

SMBv1 Uzaktan Kod Yürütme (EternalSynergy) — SMBv1'de bellek bozulmasına yol açan zafiyet.

Zafiyet Detayları

CVE KimliğiCVE-2017-0146
CVSS Puanı9.3 / 10.0 — Kritik
Yayın Yılı2017
Saldırı VektörüNETWORK
Etkilenen SistemlerWindows Vista, 7, Server 2008

Bu Zafiyeti Kullanan Malware Aileleri

  • WannaCry

Toplam 1 malware ailesi bu güvenlik açığından yararlanmaktadır.

Zafiyet Açıklaması

SMBv1 Uzaktan Kod Yürütme (EternalSynergy) — SMBv1'de bellek bozulmasına yol açan zafiyet.

Yama ve Azaltma Önerileri

  1. Güvenlik güncellemesini derhal uygulayın — NVD: CVE-2017-0146
  2. Etkilenen sistemleri ağdan geçici olarak izole edin (yaması mümkün değilse)
  3. IDS/IPS kurallarını güncelleme yapılana kadar aktive edin
  4. Ağ trafiğini izleyin — olağandışı bağlantı girişimlerini bloklayın
  5. Yedeklerinizi doğrulayın ve güncel tutun
  6. Etkilenen sistemlerde tehdit avcılığı yapın

MITRE ATT&CK Haritalama

Bu zafiyet; T1190 (Halka Açık Uygulamaların Kötüye Kullanımı) ve T1203 (İstemci Yürütme Zafiyetleri) tekniklerine karşılık gelir.

WannaCry — Malware Profile

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

Malware Type
Ransomware
Programming Language
C
C2 Protocol
Target Systems
Windows
Also Known As (AKA)
WannaCrypt

Technical Details

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

C2 Servers (3 recorded servers for this family)

Address Type Port Protocol Status Country
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
cvegüvenlik-açığıcriticalwannacry