I dispositivi ADRA NDR possono rilevare e rispondere agli exploit EternalBlue?
Prodotti applicabili
Appliance ADRA NDR
Panoramica
L’exploit EternalBlue (MS17-010) è una serie di vulnerabilità di Windows che incidono sui servizi che utilizzano il protocollo Server Message Block versione 1 (SMBv1) su un dispositivo Windows.
EternalBlue è una vulnerabilità Windows ad auto-propagazione che interessa molte versioni di Windows che non dispongono di patch. Il ransomware prende di mira i file che utilizzano il protocollo SMB v1 utilizzando tecniche come l’overflow del buffer ed heap spray per accedere al PC Windows su una rete locale. L’attacco iniziale è seguito dall’impianto e propagazione di software malevolo come Bad Rabbit, NotPetya e WannaCry. Tali ransomware e relative varianti prendono di mira i dispositivi vulnerabili crittografando i file sul dispositivo e richiedendo il pagamento di un riscatto.
Dettagli
I dispositivi ADRA NDR possono rilevare immediatamente i movimenti laterali dell’exploit EternalBlue e proteggere la rete prima che l’exploit migri su altri dispositivi Windows. Quando rilevato, ADRA NDR invia una notifica di minaccia ad alto rischio agli amministratori di rete prima che il ransomware si impianti e diffonda su altri dispositivi Windows o con SMBv1 all’interno della rete. Questo avviso include le informazioni che gli amministratori di rete possono utilizzare per identificare, mettere in quarantena e correggere i dispositivi esposti.
Se l’exploit EternalBlue non può essere risolto immediatamente, gli amministratori di rete possono limitare la diffusione utilizzando ADRA NDR per mettere in quarantena il dispositivo esposto. Ciò può aiutare a evitare che gli strumenti di ransomware e attacchi malevoli siano implementati nel dispositivo esposto.
