EternalBlue (CVE-2017-0144)
¿Qué es EternalBlue (CVE-2017-0144)?
EternalBlue (CVE-2017-0144)Exploit desarrollado por la NSA para una vulnerabilidad de ejecución remota de código en SMBv1 de Microsoft de 2017, filtrado por Shadow Brokers y usado por WannaCry y NotPetya.
EternalBlue (CVE-2017-0144) es una vulnerabilidad de ejecución remota de código en la implementación SMBv1 de Microsoft que permitía a un atacante no autenticado en la red ejecutar código a nivel de kernel en la mayoría de los Windows soportados en ese momento. El exploit era una capacidad de la NSA/Equation Group que los Shadow Brokers volcaron públicamente el 14 de abril de 2017, junto con el framework FuzzBunch y la puerta trasera de kernel DoublePulsar, que los operadores instalaban habitualmente como carga útil de pospexplotación.
Técnicamente, EternalBlue abusa de la forma en que srv.sys gestiona transacciones SMBv1 de tamaño excesivo: una confusión de tipos en cómo el servidor convierte el tamaño de una lista de atributos extendidos (FEA) provoca un desbordamiento de búfer en el pool de kernel no paginado. El atacante prepara («groom») el heap del kernel con paquetes SMB para que el desbordamiento caiga junto a un búfer SRVNET, redirigiendo finalmente la ejecución hacia shellcode controlado por el atacante. Microsoft publicó MS17-010 el 14 de marzo de 2017 —un mes antes de la filtración— y más tarde dio el paso inusual de parchear el Windows XP fuera de soporte cuando WannaCry empezó a propagarse.
El fallo se convirtió en el motor de propagación de WannaCry (12 de mayo de 2017) y NotPetya (27 de junio de 2017); NotPetya, un wiper disfrazado de ransomware, causó más de 10 000 millones de dólares en daños, paralizando a Maersk, Merck y Mondelez. Años después, los hosts SMBv1 sin parchear siguen siendo comprometidos. Defensas: aplicar MS17-010, desactivar SMBv1 por completo, bloquear TCP/445 en el perímetro y segmentar las redes planas.
flowchart TD
A[Filtración de Shadow Brokers<br/>abril de 2017] --> B[Exploit EternalBlue<br/>CVE-2017-0144]
B --> C[Transacción SMBv1 sobredimensionada manipulada]
C --> D[Confusión de tipos + desbordamiento del pool no paginado en srv.sys]
D --> E[Ejecución de código en el kernel]
E --> F[Puerta trasera DoublePulsar]
F --> G{Carga útil}
G --> H[Ransomware WannaCry]
G --> I[Wiper NotPetya]
H --> J[Se propaga al siguiente host por TCP/445]
I --> J
J --> C● Ejemplos
- 01
WannaCry propagándose como gusano por redes corporativas Windows mediante EternalBlue.
- 02
NotPetya borrando datos tras usar EternalBlue para difundirse dentro de organizaciones.
● Preguntas frecuentes
¿Qué es EternalBlue (CVE-2017-0144)?
Exploit desarrollado por la NSA para una vulnerabilidad de ejecución remota de código en SMBv1 de Microsoft de 2017, filtrado por Shadow Brokers y usado por WannaCry y NotPetya. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa EternalBlue (CVE-2017-0144)?
Exploit desarrollado por la NSA para una vulnerabilidad de ejecución remota de código en SMBv1 de Microsoft de 2017, filtrado por Shadow Brokers y usado por WannaCry y NotPetya.
¿Cómo defenderse de EternalBlue (CVE-2017-0144)?
Las defensas contra EternalBlue (CVE-2017-0144) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para EternalBlue (CVE-2017-0144)?
Nombres alternativos comunes: MS17-010, CVE-2017-0144.