EternalBlue
EternalBlue[1] es un exploit desarrollado por la NSA[2]. Fue filtrado por el grupo de hackers The Shadow Brokers el 14 de abril de 2017, y fue utilizado en el ataque mundial de ransomware con WannaCry del 12 de mayo de 2017.[1][3][4][5][6][7]
EternalBlue | ||
---|---|---|
Información general | ||
Tipo de programa | exploit | |
Desarrollador | Equation Group | |
Vulnerabilidades | CVE-2017-0144 | |
Fecha de descubrimiento | 14 de abril de 2017 (7 años, 8 meses y 13 días) | |
Software afectado | Microsoft Windows | |
Detalles
editarEternalBlue aprovecha una vulnerabilidad en la implementación del protocolo Server Message Block (SMB) de Microsoft. Esta vulnerabilidad, denotada como CVE-2017-0144[8][9] en el catálogo Common Vulnerabilities and Exposures (CVE), se debe a que la versión 1 del servidor SMB (SMBv1) acepta en varias versiones de Microsoft Windows paquetes específicos de atacantes remotos, permitiéndoles ejecutar código en el ordenador en cuestión.[10]
La actualización de seguridad de Windows del 14 de marzo de 2017 resolvió el problema a través del parche de seguridad MS17-010, para todas las versiones de Windows que en ese momento eran mantenidas por la compañía: Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, y Windows Server 2016.[11][12] Las versiones antiguas, como Windows XP, Windows 8, o Windows Server 2003, no han recibido dicho parche. (La extensión del periodo de mantenimiento para Windows XP había acabado hace tres años, el 8 de abril de 2014, y el de Windows Server el 14 de julio de 2015).[13][14] Microsoft recientemente liberó el parche para Windows XP y Server 2003.[15]
Por diversos motivos, muchos usuarios de Windows no habían instalado MS17-010 cuando, dos meses más tarde, el 12 de mayo de 2017, se produjo el ataque WannaCry que empleaba la vulnerabilidad EternalBlue.[16][17][18] El 13 de mayo de 2017, un día después del ataque, Microsoft aportó la actualización de seguridad para Windows XP, Windows 8, y Windows Server 2003, disponible para descarga en el Microsoft Update Catalog.[19][20]
Responsabilidad
editarSegún Microsoft, fue la NSA de los Estados Unidos la responsable debido a su controvertida estrategia de no revelar sino de almacenar las vulnerabilidades. La estrategia impidió que Microsoft conociera (y posteriormente parcheara) este fallo, y presumiblemente otros fallos ocultos.[21][22]
Eternalrocks
editarEternalRocks o MicroBotMassiveNet es un gusano de computadora que infecta a Microsoft Windows. Utiliza siete exploits desarrollados por la NSA.[23] Comparativamente, el programa de rescate WannaCry que infectó 230.000 ordenadores en mayo de 2017 solo utiliza dos exploits de la NSA, haciendo que los investigadores crean que EternalRocks es significativamente más peligroso.[24] El gusano fue descubierto a través de un honeypot.[25]
EternalBlue fue una de las varias hazañas utilizadas, junto con la herramienta de implante de puerta trasera DoublePulsar.[26]
Infección
editarEternalRocks instala primero Tor, una red privada que oculta la actividad de Internet, para acceder a sus servidores ocultos. Después de un breve "período de incubación"[23] de 24 horas, el servidor responde a la solicitud de malware descargándolo y auto-replicándose en la máquina "host".
El malware incluso se denomina a sí mismo WannaCry para evitar ser detectado por los investigadores de seguridad. A diferencia de WannaCry, EternalRocks no posee un interruptor de apagado y no es un software de rescate.[23]
Referencias
editar- ↑ a b «Identificado ataque de ransomware que afecta a sistemas Windows». Consultado el 12 de mayo de 2017.
- ↑ Nakashima, Ellen; Timberg, Craig (16 de mayo de 2017). «NSA officials worried about the day its potent hacking tool would get loose. Then it did.». Washington Post (en inglés estadounidense). ISSN 0190-8286. Consultado el 19 de diciembre de 2017.
- ↑ «Oleada de ransomware afecta a multitud de equipos». Archivado desde el original el 12 de mayo de 2017. Consultado el 12 de mayo de 2017.
- ↑ Larson, Selena. «Ciberataque masivo afecta a 99 países». CNN. Consultado el 12 de mayo de 2017.
- ↑ «An NSA-derived ransomware worm is shutting down computers worldwide». Ars Technica. Consultado el 13 de mayo de 2017.
- ↑ Ghosh, Agamoni (9 de abril de 2017). «'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools». International Business Times UK. Consultado el 10 de abril de 2017.
- ↑ «'NSA malware' released by Shadow Brokers hacker group». BBC News (en inglés británico). 10 de abril de 2017. Consultado el 10 de abril de 2017.
- ↑ «CVE - CVE-2017-0144». cve.mitre.org. Consultado el 3 de junio de 2020.
- ↑ «Microsoft Windows SMB Server CVE-2017-0144 Remote Code Execution Vulnerability». www.securityfocus.com. Consultado el 3 de junio de 2020.
- ↑ «Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN». ESET North America. Archivado desde el original el 16 de mayo de 2017. Consultado el 16 de mayo de 2017.
- ↑ Cimpanu, Catalin (13 de mayo de 2017). «Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r». Bleeping Computer. Consultado el 13 de mayo de 2017.
- ↑ «Windows Vista Lifecycle Policy». Microsoft. Consultado el 13 de mayo de 2017.
- ↑ «Microsoft Product Lifecycle Search: Windows XP». Microsoft Support. Microsoft. Consultado el 14 de mayo de 2017.
- ↑ «Windows Server 2003 end of support». Microsoft. Archivado desde el original el 14 de mayo de 2017. Consultado el 14 de mayo de 2017.
- ↑ «TechNet Wiki». social.technet.microsoft.com (en inglés). Consultado el 16 de mayo de 2017.
- ↑ «Microsoft Security Bulletin MS17-010 – Critical». technet.microsoft.com. Consultado el 13 de mayo de 2017.
- ↑ Newman, Lily Hay. «The Ransomware Meltdown Experts Warned About Is Here». Wired.com. Consultado el 13 de mayo de 2017.
- ↑ «Wanna Decryptor: The NSA-derived ransomware worm shutting down computers worldwide». Ars Technica UK (en inglés estadounidense). Consultado el 13 de mayo de 2017.
- ↑ Surur (13 de mayo de 2017). «Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003». Consultado el 13 de mayo de 2017.
- ↑ MSRC Team. «Customer Guidance for WannaCrypt attacks». microsoft.com. Consultado el 13 de mayo de 2017.
- ↑ «The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack». Microsoft on the Issues (en inglés estadounidense). 14 de mayo de 2017. Consultado el 3 de junio de 2020.
- ↑ Titcomb, James (15 de mayo de 2017). «Microsoft slams US government over global cyber attack». The Telegraph (en inglés británico). ISSN 0307-1235. Consultado el 3 de junio de 2020.
- ↑ a b c «New SMB Worm Uses Seven NSA Hacking Tools. WannaCry Used Just Two». BleepingComputer (en inglés estadounidense). Consultado el 3 de junio de 2020.
- ↑ «Newly identified ransomware 'EternalRocks' is more dangerous than 'WannaCry'- Technology News, Firstpost». Tech2. 22 de mayo de 2017. Consultado el 3 de junio de 2020.
- ↑ «https://twitter.com/stamparm/status/864865144748298242». Twitter. Consultado el 3 de junio de 2020.
- ↑ Stampar, Miroslav (22 de mayo de 2020), stamparm/EternalRocks, consultado el 3 de junio de 2020.