NSA maakte 5 jaar lang gebruik van SMB-lek in Windows

[Captain Kirk]

De NSA heeft meer dan 5 jaar gebruik gemaakt van het SMB-lek in Windows dat ook de WannaCry-ransomware gebruikte om zich te verspreiden, wat de dienst een schat aan informatie opleverde, zo hebben voormalige NSA-medewerkers tegenover de Washington Post laten weten.

"Het was als het vissen met dynamiet", zegt één van de ex-medewerkers. De EternalBlue-exploit die van het SMB-lek gebruikmaakt kwam echter in handen van een groep die zichzelf Shadow Brokers noemt en verscheen afgelopen april op internet. De kwetsbaarheid was toen al door Microsoft gepatcht. De Washington Post meldt dat de NSA zelf Microsoft heeft gewaarschuwd nadat het ontdekte dat de EternalBlue-exploit was buitgemaakt, zodat Microsoft een patch kon ontwikkelen om die uiteindelijk in maart uit te brengen.

Binnen de NSA stond de exploit eerst nog bekend als "EternalBlueScreen", vanwege de crashes die het veroorzaakte. Door deze instabiliteit mochten NSA-hackers de exploit alleen onder bepaalde voorwaarden gebruiken en was er per doelwit toestemming van een senior manager vereist. Na een aantal jaren werd de stabiliteit verbeterd, maar de NSA zou nog steeds beducht zijn voor de schade die de exploit kon veroorzaken als die in verkeerde handen zou komen.

"Als één van onze doelwitten ontdekte dat we deze specifieke exploit gebruikten en het tegen de Verenigde Staten zou inzetten, zou het volledige ministerie van Defensie kwetsbaar zijn", aldus een medewerker. Toen de Shadow Brokers in augustus de eerste verzameling exploits openbaar maakte werd besloten om getroffen leveranciers te waarschuwen, aldus een voormalige overheidsfunctionaris.

"NSA identificeerde een risico en waarschuwde Microsoft, die direct met een patch in maart kwamen", aldus Mike McNerney, voormalig Defensiemedewerker. Volgens critici is de NSA goed weggekomen, aangezien de exploit pas op internet verscheen nadat er een patch beschikbaar was. De gevolgen hadden veel ernstiger kunnen zijn als Microsoft nog niet over een update beschikte.

 

 

bron: security.nl