Gruppen som kaller seg for The Shadow Brokers kom langfredag med en ny utgivelse av angrepsverktøy som angivelig skal stamme fra kyberarsenalet til den amerikanske signaletterretningstjenesten NSA.
Den første samlingen ble utgitt for halvannen uke siden. Da dreide det seg primært om verktøy som utnytter eldre sårbarheter i Unix- og Linux-systemer. Men nye samlingen omfatter i langt større grad Windows.
Det var antatt at samlingen ville inneholde informasjon om til nå ukjente sårbarheter i Windows, noe som kunne ha gjort plattformen temmelig utsatt en periode. Mange sikkerhetsspesialister gikk tidlig ut og sa at samlingen inneholdt nulldagssårbarheter som ville kunne utnyttes selv i fullt oppdaterte systemer.
Men dette viste seg raskt ikke å stemme.
Sikkerhetsfiksene kom i mars
Allerede samme dag som angrepsverktøyene ble kjent, men først etter en del timer, kunne Microsoft berolige kundene med angrepsverktøyene som nå var blitt lekket, ikke ville fungere på fullt oppdaterte utgaver av de Windows-versjonene selskapet fortsatt støtter.
Tabellen nedenfor er utgitt av Microsoft og adresserer de ulike angrepsverktøyene i «Lost In Translation»-lekkasjen til The Shadow Brokers.
| Code Name | Solution |
| “EternalBlue” | Addressed by MS17-010 |
| “EmeraldThread” | Addressed by MS10-061 |
| “EternalChampion” | Addressed by CVE-2017-0146 & CVE-2017-0147 |
| “ErraticGopher” | Addressed prior to the release of Windows Vista |
| “EsikmoRoll” | Addressed by MS14-068 |
| “EternalRomance” | Addressed by MS17-010 |
| “EducatedScholar” | Addressed by MS09-050 |
| “EternalSynergy” | Addressed by MS17-010 |
| “EclipsedWing” | Addressed by MS08-067 |
Noen av angrepsverktøyene skal ha utnyttet sårbarheter som ble fjernet fra Microsoft produkter allerede for hel del år siden. Men andre ble først fjernet i mars i år, altså bare en måned før The Shadow Brokers utga samlingen.
Likevel er det slik at noen av angrepsverktøyene fortsatt kunne brukes mot systemer som Microsoft ikke lenger støtter, slik som Windows XP og Windows Server 2003.
Bakgrunn: Knapt noen vil kjøpe lekkede «NSA-verktøy», trass i utnyttelse av ukjente sårbarheter
Har ikke oppgitt kilde
Hvordan Microsoft har fått vite om disse sårbarhetene, og trolig allerede for flere måneder siden, er ukjent. Selskapet har ikke oppgitt hvordan det har fått vite om de aktuelle sårbarhetene, noe som er temmelig uvanlig.
Dette har fått mange til å spekulere.
Ifølge Ars Technica er det flere aktuelle teorier. Den ene går ut på at NSA allerede i vinter kan ha informert Microsoft i det skjulte om hva som verktøysamlingen inneholder.
En annen mulighet er at Microsoft rett og slett har betalt The Shadow Brokers for informasjon om sårbarhetene.
Men da selskapet kom med sikkerhetsfiksene i mars, opplyste selskapet spesifikt at det på dette tidspunktet ikke var kjent med at de aktuelle sårbarhetene ble aktivt utnyttet, noe det jo nå er klart at de ble.
Dersom NSA eller The Shadow Brokers hadde vært kilden til Microsoft, ville selskapet også ha visst at sårbarhetene ble utnyttet i de aktuelle verktøyene.
En tredje mulighet er at Microsoft på egenhånd har oppdaget sårbarhetene. Dette kan ha skjedd, men sannsynligheten for at selskapet skal ha funnet alle de fire, aktuelle sårbarhetene omtrent samtidig og nærmest ved en tilfeldighet, virker liten. Det forklarer heller ikke hvorfor selskapet ikke har kreditert noen for oppdagelsene.
Konkluderte veldig raskt
Det at selskapet etter bare noen timer på fredag kategorisk kunne erklære at ingen av verktøyene utgjør noen risiko for støttede systemer, tyder også på at selskapet fra før hadde informasjon om hva samlingen med angrepsverktøy faktisk inneholdt.
I en uttalelse som av amerikanske IT-presse omtales som vag, avviser Microsoft i alle fall NSA-sporet.
– Bortsett fra reportere, har ingen individer eller organisasjoner kontaktet oss i forbindelse med materialet utgitt av Shadow Brokers.
Det er ZDNet som har gjengitt denne uttalelsen.
En talsperson fra Microsoft skal ha opplyst ZDNet om at selskapet kan unnlate å kreditere sårbarhetsrapporter fra egne ansatte, på forespørsel om å ikke bli kreditert, eller dersom finneren ikke følger koordinert avsløring av sårbarhetene.
Les også: Ny Snowden-lekkasje bekrefter at lekket hackerverktøy tilhører NSA
