Tienda
1


















La imagen muestra un fondo azul con un texto centrado en letras blancas que muestra la palabra eternalblue-(2017)

Última modificación: 2024-06-23

Historia del EternalBlue (2017)

EternalBlue es el nombre en clave de una vulnerabilidad crítica en el protocolo SMBv1 (Server Message Block version 1) de los sistemas operativos Microsoft Windows. La existencia de esta vulnerabilidad fue revelada en abril de 2017 cuando un grupo de hackers conocido como "Shadow Brokers" publicó un conjunto de herramientas de hacking atribuidas a la Agencia de Seguridad Nacional de Estados Unidos (NSA). EternalBlue era una de estas herramientas, diseñadas para explotar una vulnerabilidad en el SMBv1 de Windows, permitiendo la ejecución remota de código malicioso.

Una vez que la vulnerabilidad fue revelada, Microsoft lanzó un parche para esta vulnerabilidad en marzo de 2017, con la designación CVE-2017-0144. Sin embargo, muchos sistemas no fueron actualizados y permanecieron vulnerables, lo que facilitó a los atacantes su explotación.

Efectos del EternalBlue

La explotación de EternalBlue tuvo consecuencias devastadoras a nivel global. Los efectos más notables se vieron en dos incidentes de malware importantes:

  1. WannaCry Ransomware:

    • En mayo de 2017, el ransomware WannaCry utilizó EternalBlue para propagarse rápidamente a través de redes enteras.
    • WannaCry encriptaba los archivos de las computadoras infectadas y pedía un rescate en Bitcoin para desbloquearlos.
    • Afectó alrededor de 200,000 computadoras en más de 150 países, incluyendo grandes corporaciones, servicios de salud y empresas de infraestructura crítica.
  2. NotPetya:

    • En junio de 2017, otro brote de malware, conocido como NotPetya, también utilizó EternalBlue para su expansión.
    • Aunque inicialmente parecía ser un ransomware, NotPetya realmente actuaba más como un wiper, destruyendo datos de manera irreversible.
    • El impacto económico global de NotPetya se estimó en más de 10,000 millones de dólares, afectando a importantes empresas y entidades gubernamentales.

Cómo se conseguía infectar a los ordenadores con EternalBlue

El funcionamiento del exploit EternalBlue se basa en una vulnerabilidad en la implementación de SMBv1 en los sistemas operativos Windows. Aquí te explico el proceso detallado:

  1. Exploración de Red:

    • Los atacantes realizaban una exploración en una red específica para identificar sistemas que tuvieran SMBv1 activo y que no hubieran sido parchados contra la vulnerabilidad CVE-2017-0144.
  2. Lanzamiento del Exploit:

    • Al encontrar un sistema vulnerable, el exploit EternalBlue enviaba paquetes SMB específicamente diseñados para causar un desbordamiento de buffer en el sistema remoto.
  3. Ejecución de Código Remoto:

    • Al causar el desbordamiento de buffer, el exploit EternalBlue permitía la ejecución de código arbitrario en el sistema afectado. Esto habilitaba a los atacantes a ejecutar comandos maliciosos y lanzar payloads adicionales, como scripts de PowerShell.
  4. Propagación:

    • Una vez comprometido un sistema, el malware se propagaba automáticamente a otros sistemas vulnerables en la misma red.
    • En el caso de WannaCry y NotPetya, una vez que el malware infectaba una máquina, intentaba infectar cualquier otra máquina vulnerable en la red interna usando EternalBlue de nuevo.

Mitigación y Prevención

Para mitigar y prevenir infecciones basadas en EternalBlue, se recomendaron las siguientes acciones:

  1. Aplicar Parches de Seguridad:

    • Actualizar todos los sistemas operativos Windows con los parches proporcionados por Microsoft, específicamente el MS17-010.
  2. Deshabilitar SMBv1:

    • Siempre que fuera posible, deshabilitar el protocolo SMBv1, dado que es una versión obsoleta del protocolo de red.
  3. Implementar Seguridad en Capas:

    • Implementar firewalls efectivos para proteger los sistemas internos y bloquear la exposición del puerto 445 (utilizado por SMB) a la Internet pública.
  4. Herramientas Antimalware:

    • Utilizar soluciones robustas de antivirus y antimalware junto con inteligencia sobre amenazas para detectar y bloquear ataques en tiempo real.
  5. Auditoría y Monitoreo:

    • Realizar auditorías regulares y monitoreo continuo de redes para identificar y remediar cualquier actividad sospechosa.

El incidente de EternalBlue subrayó la importancia de mantener los sistemas actualizados y de practicar una buena higiene cibernética, ya que la propagación del ransomware y otros tipos de malware a menudo explotan vulnerabilidades ya conocidas y revendidas.




Colaboraciónes de nuestros usuarios

¿Tienes algo que agregar? ¡Déjanos tu colaboración!