Urządzenia ADRA NDR
Exploit EternalBlue (MS17-010) to seria luk w zabezpieczeniach systemu Windows, które wpływają na usługi korzystające z protokołu Server Message Block w wersji 1 (SMBv1) na urządzeniu z systemem Windows.
EternalBlue to samorozprzestrzeniająca się luka w zabezpieczeniach systemu Windows, która dotyczy większości niezałatanych wersji systemu Windows. Ransomware atakuje pliki wykorzystujące protokół SMB v1, stosując techniki takie jak przepełnienie bufora (buffer overflow) i heap spray w celu uzyskania dostępu do komputera z systemem Windows w sieci lokalnej. Po początkowym ataku następuje instalacja i rozprzestrzenianie szkodliwego oprogramowania, takiego jak Bad Rabbit, NotPetya i WannaCry. Te ransomware i ich warianty atakują podatne urządzenia, szyfrując znajdujące się na nich pliki, a następnie żądając okupu za ich odszyfrowanie.
Urządzenia ADRA NDR mogą natychmiast wykryć ruchy poprzeczne exploita EternalBlue i zabezpieczyć sieć, zanim exploit przeniesie się na inne urządzenia z systemem Windows. Po wykryciu zagrożenia ADRA NDR wysyła administratorom sieci powiadomienie o zagrożeniu wysokiego ryzyka, zanim ransomware zainstaluje się i rozprzestrzeni na inne urządzenia z systemem Windows lub urządzenia obsługujące SMBv1 w sieci. Alert ten zawiera informacje, które administratorzy sieci mogą wykorzystać do zidentyfikowania, odizolowania i załatania narażonych urządzeń.
Jeśli exploita EternalBlue nie można rozwiązać natychmiast, administratorzy sieci mogą ograniczyć jego rozprzestrzenianie, używając ADRA NDR do odizolowania narażonego urządzenia. Może to pomóc uniknąć zainstalowania ransomware i szkodliwych narzędzi ataku na narażonym urządzeniu.
WażneAdministratorzy sieci muszą używać zapory do blokowania ruchu przez port TCP 445 na urządzeniu z systemem Windows.
Przegląd
Exploit EternalBlue (MS17-010) to seria luk w zabezpieczeniach systemu Windows, które wpływają na usługi korzystające z protokołu Server Message Block w wersji 1 (SMBv1) na urządzeniu z systemem Windows.
EternalBlue to samorozprzestrzeniająca się luka w zabezpieczeniach systemu Windows, która dotyczy większości niezałatanych wersji systemu Windows. Ransomware atakuje pliki wykorzystujące protokół SMB v1, stosując techniki takie jak przepełnienie bufora (buffer overflow) i heap spray w celu uzyskania dostępu do komputera z systemem Windows w sieci lokalnej. Po początkowym ataku następuje instalacja i rozprzestrzenianie szkodliwego oprogramowania, takiego jak Bad Rabbit, NotPetya i WannaCry. Te ransomware i ich warianty atakują podatne urządzenia, szyfrując znajdujące się na nich pliki, a następnie żądając okupu za ich odszyfrowanie.
Szczegóły
Urządzenia ADRA NDR mogą natychmiast wykryć ruchy poprzeczne exploita EternalBlue i zabezpieczyć sieć, zanim exploit przeniesie się na inne urządzenia z systemem Windows. Po wykryciu zagrożenia ADRA NDR wysyła administratorom sieci powiadomienie o zagrożeniu wysokiego ryzyka, zanim ransomware zainstaluje się i rozprzestrzeni na inne urządzenia z systemem Windows lub urządzenia obsługujące SMBv1 w sieci. Alert ten zawiera informacje, które administratorzy sieci mogą wykorzystać do zidentyfikowania, odizolowania i załatania narażonych urządzeń.
Jeśli exploita EternalBlue nie można rozwiązać natychmiast, administratorzy sieci mogą ograniczyć jego rozprzestrzenianie, używając ADRA NDR do odizolowania narażonego urządzenia. Może to pomóc uniknąć zainstalowania ransomware i szkodliwych narzędzi ataku na narażonym urządzeniu.
WażneAdministratorzy sieci muszą używać zapory do blokowania ruchu przez port TCP 445 na urządzeniu z systemem Windows.