EternalBlue
EternalBlue[1] es un exploit supuestamente desarrollado por la NSA. Fue filtrado por el grupo de hackers Shadow Brokers el 14 de abril de 2017, y fue utilizado en el ataque mundial de ransomware con WannaCry del 12 de mayo de 2017.[1][2][3][4][5][6]
Detalles
EternalBlue aprovecha una vulnerabilidad en la implementación del protocolo Server Message Block (SMB) de Microsoft. Esta vulnerabilidad, denotada como CVE-2017-0144[7][8] en el catálogo Common Vulnerabilities and Exposures (CVE), se debe a que la versión 1 del servidor SMB (SMBv1) acepta en varias versiones de Microsoft Windows paquetes específicos de atacantes remotos, permitiéndoles ejecutar código en el ordenador en cuestión.[9]
La actualización de seguridad de Windows del 14 de marzo de 2017 resolvió el problema a través del parche de seguridad MS17-010, para todas las versiones de Windows que en ese momento eran mantenidas por la compañía: Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, y Windows Server 2016.[10][11] Las versiones antiguas, como Windows XP, Windows 8, o Windows Server 2003, no han recibido dicho parche. (La extensión del periodo de mantenimiento para Windows XP había acabado hace tres años, el 8 de abril de 2014, y el de Windows Server el 14 de julio de 2015).[12][13] Microsoft recientemente liberó el parche para Windows XP y Server 2003.[14]
Por diversos motivos, muchos usuarios de Windows no habían instalado MS17-010 cuando, dos meses más tarde, el 12 de mayo de 2017, se produjo el ataque WannaCry que empleaba la vulnerabilidad EternalBlue.[15][16][17] El 13 de mayo de 2017, un día después del ataque, Microsoft aportó la actualización de seguridad para Windows XP, Windows 8, y Windows Server 2003, disponible para descarga en el Microsoft Update Catalog.[18][19]
Responsabilidad
Según Microsoft, fue la NSA de los Estados Unidos la responsable debido a su controvertida estrategia de no revelar sino de almacenar las vulnerabilidades. La estrategia impidió que Microsoft conociera (y posteriormente parcheara) este fallo, y presumiblemente otros fallos ocultos.[20][21]
Eternalrocks
EternalRocks o MicroBotMassiveNet es un gusano de computadora que infecta a Microsoft Windows. Utiliza siete exploits desarrollados por la NSA.[22] Comparativamente, el programa de rescate WannaCry que infectó 230.000 ordenadores en mayo de 2017 solo utiliza dos exploits de la NSA, haciendo que los investigadores crean que EternalRocks es significativamente más peligroso.[23] El gusano fue descubierto a través de un honeypot.[24]
EternalBlue fue una de las varias hazañas utilizadas, junto con la herramienta de implante de puerta trasera DoublePulsar.[25]
Infección
EternalRocks instala primero Tor, una red privada que oculta la actividad de Internet, para acceder a sus servidores ocultos. Después de un breve "período de incubación"[22] de 24 horas, el servidor responde a la solicitud de malware descargándolo y auto-replicándose en la máquina "host".
El malware incluso se denomina a sí mismo WannaCry para evitar ser detectado por los investigadores de seguridad. A diferencia de WannaCry, EternalRocks no posee un interruptor de apagado y no es un software de rescate.[22]
Referencias
- ↑ «Identificado ataque de ransomware que afecta a sistemas Windows». Consultado el 12 de mayo de 2017.
- . Archivado desde el original el 12 de mayo de 2017. Consultado el 12 de mayo de 2017.
- Larson, Selena. «Ciberataque masivo afecta a 99 países». CNN. Consultado el 12 de mayo de 2017.
- «An NSA-derived ransomware worm is shutting down computers worldwide». Ars Technica. Consultado el 13 de mayo de 2017.
- Ghosh, Agamoni (9 de abril de 2017). «'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools». International Business Times UK. Consultado el 10 de abril de 2017.
- «'NSA malware' released by Shadow Brokers hacker group». BBC News (en inglés británico). 10 de abril de 2017. Consultado el 10 de abril de 2017.
- «CVE - CVE-2017-0144». cve.mitre.org. Consultado el 3 de junio de 2020.
- «Microsoft Windows SMB Server CVE-2017-0144 Remote Code Execution Vulnerability». www.securityfocus.com. Consultado el 3 de junio de 2020.
- «Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN». ESET North America. desde el original el 16 de mayo de 2017. Consultado el 16 de mayo de 2017.
- Cimpanu, Catalin (13 de mayo de 2017). «Microsoft Releases Patch for Older Windows Versions to Protect Against Wana Decrypt0r». Bleeping Computer. Consultado el 13 de mayo de 2017.
- «Windows Vista Lifecycle Policy». Microsoft. Consultado el 13 de mayo de 2017.
- «Microsoft Product Lifecycle Search: Windows XP». Microsoft Support. Microsoft. Consultado el 14 de mayo de 2017.
- «Windows Server 2003 end of support». Microsoft. desde el original el 14 de mayo de 2017. Consultado el 14 de mayo de 2017.
- «TechNet Wiki». social.technet.microsoft.com (en inglés). Consultado el 16 de mayo de 2017.
- «Microsoft Security Bulletin MS17-010 – Critical». technet.microsoft.com. Consultado el 13 de mayo de 2017.
- Newman, Lily Hay. «The Ransomware Meltdown Experts Warned About Is Here». Wired.com. Consultado el 13 de mayo de 2017.
- «Wanna Decryptor: The NSA-derived ransomware worm shutting down computers worldwide». Ars Technica UK (en inglés estadounidense). Consultado el 13 de mayo de 2017.
- Surur (13 de mayo de 2017). «Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003». Consultado el 13 de mayo de 2017.
- MSRC Team. «Customer Guidance for WannaCrypt attacks». microsoft.com. Consultado el 13 de mayo de 2017.
- «The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack». Microsoft on the Issues (en inglés estadounidense). 14 de mayo de 2017. Consultado el 3 de junio de 2020.
- Titcomb, James (15 de mayo de 2017). «Microsoft slams US government over global cyber attack». The Telegraph (en inglés británico). ISSN 0307-1235. Consultado el 3 de junio de 2020.
- ↑ «New SMB Worm Uses Seven NSA Hacking Tools. WannaCry Used Just Two». BleepingComputer (en inglés estadounidense). Consultado el 3 de junio de 2020.
- «Newly identified ransomware 'EternalRocks' is more dangerous than 'WannaCry'- Technology News, Firstpost». Tech2. 22 de mayo de 2017. Consultado el 3 de junio de 2020.
- «https://twitter.com/stamparm/status/864865144748298242». Twitter. Consultado el 3 de junio de 2020.
- Stampar, Miroslav (22 de mayo de 2020), stamparm/EternalRocks, consultado el 3 de junio de 2020.