EternalBlue (CVE-2017-0144)
O que é EternalBlue (CVE-2017-0144)?
EternalBlue (CVE-2017-0144)Exploit desenvolvido pela NSA para uma vulnerabilidade de execução remota de código no SMBv1 da Microsoft de 2017, divulgado pelos Shadow Brokers e usado por WannaCry e NotPetya.
O EternalBlue (CVE-2017-0144) é uma vulnerabilidade de execução remota de código na implementação SMBv1 da Microsoft que permitia a um atacante não autenticado na rede executar código ao nível do kernel na maioria dos Windows então suportados. O exploit era uma capacidade da NSA/Equation Group, divulgada publicamente pelos Shadow Brokers a 14 de abril de 2017, juntamente com o framework FuzzBunch e a backdoor de kernel DoublePulsar, que os operadores normalmente instalavam como payload de pós-exploração.
Tecnicamente, o EternalBlue abusa da forma como o srv.sys lida com transações SMBv1 de tamanho excessivo: uma confusão de tipos na forma como o servidor converte o tamanho de uma lista de atributos estendidos (FEA) provoca um transbordamento de buffer no pool de kernel não paginado. O atacante prepara («groom») a heap do kernel com pacotes SMB para que o transbordamento ocorra junto a um buffer SRVNET, redirecionando por fim a execução para shellcode controlado pelo atacante. A Microsoft lançou o MS17-010 a 14 de março de 2017 — um mês antes da fuga — e mais tarde deu o passo invulgar de corrigir o Windows XP, já fora de suporte, quando o WannaCry começou a propagar-se.
A falha tornou-se o motor de propagação do WannaCry (12 de maio de 2017) e do NotPetya (27 de junho de 2017); o NotPetya, um wiper disfarçado de ransomware, causou mais de 10 mil milhões de dólares em prejuízos, paralisando a Maersk, a Merck e a Mondelez. Anos depois, hosts SMBv1 sem correção continuam a ser comprometidos. Defesas: aplicar o MS17-010, desativar totalmente o SMBv1, bloquear TCP/445 no perímetro e segmentar redes planas.
flowchart TD
A[Fuga dos Shadow Brokers<br/>abril de 2017] --> B[Exploit EternalBlue<br/>CVE-2017-0144]
B --> C[Transação SMBv1 sobredimensionada forjada]
C --> D[Confusão de tipos + transbordamento do pool não paginado em srv.sys]
D --> E[Execução de código no kernel]
E --> F[Backdoor DoublePulsar]
F --> G{Payload}
G --> H[Ransomware WannaCry]
G --> I[Wiper NotPetya]
H --> J[Propaga-se para o host seguinte via TCP/445]
I --> J
J --> C● Exemplos
- 01
WannaCry a propagar-se como verme em redes Windows corporativas via EternalBlue.
- 02
NotPetya a apagar dados depois de se difundir por EternalBlue dentro de organizações.
● Perguntas frequentes
O que é EternalBlue (CVE-2017-0144)?
Exploit desenvolvido pela NSA para uma vulnerabilidade de execução remota de código no SMBv1 da Microsoft de 2017, divulgado pelos Shadow Brokers e usado por WannaCry e NotPetya. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa EternalBlue (CVE-2017-0144)?
Exploit desenvolvido pela NSA para uma vulnerabilidade de execução remota de código no SMBv1 da Microsoft de 2017, divulgado pelos Shadow Brokers e usado por WannaCry e NotPetya.
Como se defender contra EternalBlue (CVE-2017-0144)?
As defesas contra EternalBlue (CVE-2017-0144) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para EternalBlue (CVE-2017-0144)?
Nomes alternativos comuns: MS17-010, CVE-2017-0144.