x
1

EternalBlue



EternalBlue[1]​ es un exploit supuestamente desarrollado por la NSA. Fue filtrado por el grupo de hackers Shadow Brokers el 14 de abril de 2017, y fue utilizado en el ataque mundial de ransomware con WannaCry del 12 de mayo de 2017.[1][2][3][4][5][6]

EternalBlue aprovecha una vulnerabilidad en la implementación del protocolo Server Message Block (SMB) de Microsoft. Esta vulnerabilidad, denotada como CVE-2017-0144[7][8]​ en el catálogo Common Vulnerabilities and Exposures (CVE), se debe a que la versión 1 del servidor SMB (SMBv1) acepta en varias versiones de Microsoft Windows paquetes específicos de atacantes remotos, permitiéndoles ejecutar código en el ordenador en cuestión.[9]

La actualización de seguridad de Windows del 14 de marzo de 2017 resolvió el problema a través del parche de seguridad MS17-010, para todas las versiones de Windows que en ese momento eran mantenidas por la compañía: Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, y Windows Server 2016.[10][11]​ Las versiones antiguas, como Windows XP, Windows 8, o Windows Server 2003, no han recibido dicho parche. (La extensión del periodo de mantenimiento para Windows XP había acabado hace tres años, el 8 de abril de 2014, y el de Windows Server el 14 de julio de 2015).[12][13]​ Microsoft recientemente liberó el parche para Windows XP y Server 2003.[14]

Por diversos motivos, muchos usuarios de Windows no habían instalado MS17-010 cuando, dos meses más tarde, el 12 de mayo de 2017, se produjo el ataque WannaCry que empleaba la vulnerabilidad EternalBlue.[15][16][17]​ El 13 de mayo de 2017, un día después del ataque, Microsoft aportó la actualización de seguridad para Windows XP, Windows 8, y Windows Server 2003, disponible para descarga en el Microsoft Update Catalog.[18][19]

Según Microsoft, fue la NSA de los Estados Unidos la responsable debido a su controvertida estrategia de no revelar sino de almacenar las vulnerabilidades. La estrategia impidió que Microsoft conociera (y posteriormente parcheara) este fallo, y presumiblemente otros fallos ocultos.[20][21]

EternalRocks o MicroBotMassiveNet es un gusano de computadora que infecta a Microsoft Windows. Utiliza siete exploits desarrollados por la NSA.[22]​ Comparativamente, el programa de rescate WannaCry que infectó 230.000 ordenadores en mayo de 2017 solo utiliza dos exploits de la NSA, haciendo que los investigadores crean que EternalRocks es significativamente más peligroso.[23]​ El gusano fue descubierto a través de un honeypot.[24]

EternalBlue fue una de las varias hazañas utilizadas, junto con la herramienta de implante de puerta trasera DoublePulsar.[25]

EternalRocks instala primero Tor, una red privada que oculta la actividad de Internet, para acceder a sus servidores ocultos. Después de un breve "período de incubación"[22]​ de 24 horas, el servidor responde a la solicitud de malware descargándolo y auto-replicándose en la máquina "host".

El malware incluso se denomina a sí mismo WannaCry para evitar ser detectado por los investigadores de seguridad. A diferencia de WannaCry, EternalRocks no posee un interruptor de apagado y no es un software de rescate.[22]



Escribe un comentario o lo que quieras sobre EternalBlue (directo, no tienes que registrarte)


Comentarios
(de más nuevos a más antiguos)


Aún no hay comentarios, ¡deja el primero!