Algunos ciberataques han marcado la historia del hacking debido a su impacto global. En este contexto, el parche de seguridad MS17-010 y la vulnerabilidad EternalBlue se han convertido en términos clave en ciberseguridad, especialmente tras incidentes masivos como el ataque de WannaCry.
¿Qué es la Vulnerabilidad MS17-010 y el Protocolo SMBv1?
MS17-010 es un parche de seguridad para sistemas operativos Windows que fue publicado por Microsoft el 14 de marzo de 2017. Este parche está diseñado para cubrir vulnerabilidades informáticas críticas del sistema que permiten a un ciberatacante realizar una ejecución remota de código en el ordenador de la víctima.
Específicamente, MS17-010 resuelve vulnerabilidades relacionadas con el envío de mensajes a servidores del protocolo Microsoft Server Message Block 1.0 (SMBv1). El protocolo SMB versión 1, desarrollado a principios de 1983, es un sistema de comunicación de red que permite que los ordenadores compartan archivos, impresoras y puertos. Sin embargo, SMBv1 contiene fallos que los hackers aprovechan para enviar paquetes de datos maliciosos a la red.
El parche de Microsoft cierra completamente esta vulnerabilidad de seguridad, impidiendo así los intentos de despliegue de ransomware, malware, cryptojacking o cualquier otro intento de infiltración digital tipo gusano utilizando el exploit EternalBlue.
EternalBlue: Origen y Funcionamiento de un Exploit de la NSA
Un exploit es un software que utiliza una vulnerabilidad informática para infiltrarse en el sistema de una víctima. EternalBlue es el nombre que reciben una serie de vulnerabilidades del software de Microsoft, así como el exploit creado por la NSA (Agencia de Seguridad Nacional) de Estados Unidos como herramienta de ciberataque.
Al parecer, la NSA dedicó casi un año a buscar fallos en el software de Microsoft. Cuando encontraron la vulnerabilidad en SMBv1, la NSA desarrolló EternalBlue para explotarla. Este exploit permite a un atacante remoto ejecutar código arbitrario en una computadora vulnerable sin autenticación, enviando un paquete especialmente diseñado al servicio SMB y obteniendo acceso a la misma. Esta vulnerabilidad permite la propagación del malware de forma rápida y eficiente en una red infectada.
La situación se complicó cuando el exploit EternalBlue fue filtrado por un grupo de hackers llamado The Shadow Brokers en abril de 2017. Los Shadow Brokers, conocidos por supuestamente hackear a la NSA y filtrar algunas de sus herramientas de ciberseguridad, hicieron público este y otros exploits, desatando la amenaza de EternalBlue globalmente. Esta no fue la primera vez que los piratas informáticos de Shadow Brokers atacaban; fue la quinta vez que filtraron exploits y vulnerabilidades delicadas en línea.
Curiosamente, el 14 de marzo de 2017, exactamente un mes antes de la filtración de Shadow Brokers, Microsoft ya había publicado el boletín de seguridad MS17-010 para corregir estas vulnerabilidades críticas. Además, en un movimiento sin precedentes y para demostrar la gravedad del exploit EternalBlue, Microsoft lanzó un segundo parche de emergencia para los sistemas operativos sin soporte después de que la filtración se hiciera pública.
Impacto en Sistemas Operativos
El parche MS17-010 se diseñó para solucionar los fallos de software de SMBv1 para todos los sistemas operativos Windows compatibles, incluyendo Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 y Windows Server 2016. Sin embargo, EternalBlue afectaba especialmente a versiones antiguas de los sistemas operativos de Microsoft. Todo este caos se habría podido evitar en el caso de que todos los ordenadores de aquella época con sistemas operativos Windows 7 y XP hubiesen tenido instalada una actualización.
Los Ciberataques Más Notorios que Utilizaron EternalBlue
Como es bien sabido, EternalBlue se ha utilizado para propagar algunos de los ransomware más conocidos, como WannaCry y Petya. Pero el exploit puede usarse para desplegar cualquier tipo de ciberataque, incluyendo el cryptojacking y el malware tipo gusano.
WannaCry: El Ataque Global de Ransomware
A estas alturas probablemente ya habrá oído hablar de WannaCry, también conocido como WCry o WannaCrypt0r 2.0, y de sus efectos. Este ransomware es un tipo de malware que se encarga de cifrar los ficheros más importantes de un ordenador y exige el pago de un rescate a cambio de la clave para descifrarlos. Dicho pago debe hacerse, normalmente, por medio de criptomonedas para dificultar el rastreo de los atacantes.
El ciberataque WannaCry comenzó el 12 de mayo de 2017 e inmediatamente tuvo un impacto global. Se inició a través de una ejecución remota de código mediante una herramienta de hacking, conocida como “EternalBlue”. El ataque llevado a cabo por este malware explotó la vulnerabilidad de SMB (MS17-010) como método de distribución en la red interna. El gusano ransomware WannaCry se propagó por más de 200.000 ordenadores en más de 150 países, aprovechando la vulnerabilidad EternalBlue para extenderse rápidamente por la red de una organización. Una vez infectado, el malware buscaba otros sistemas vulnerables en la misma red y se propagaba automáticamente, lo que resultó en una rápida expansión del ataque.
Los atacantes del ransomware WannaCry les exigían a sus víctimas un pago de 300 dólares por rescate. En total, los hackers recaudaron alrededor de 90.000 dólares, una suma de dinero muy baja comparada con el nivel de daño que causó. Aunque no había objetivos específicos, algunos nombres y entidades importantes sufrieron ataques, como FedEx, la Universidad de Montreal, LATAM Airlines, Deutsche Bahn y, sobre todo, el Servicio Nacional de Salud del Reino Unido (NHS).
A las pocas horas del ataque, WannaCry fue neutralizado de forma temporal gracias al descubrimiento de un "interruptor de apagado" por parte de un investigador de seguridad, Marcus Hutchins. Dado que el dominio utilizado por el ransomware no estaba registrado, todas las peticiones fallaban y permitían al ransomware seguir su tarea maliciosa. Sin embargo, tras analizar el código en busca de este dominio, el investigador pudo comprarlo por 10,69 dólares y redirigió las solicitudes a servidores que enviaban una respuesta, frenando temporalmente su propagación. No obstante, no tardaron en aparecer nuevas variantes que evitaban usar ese dominio.
WANNACRY | Analisis de virus
Petya y NotPetya: Destrucción Más Allá del Rescate
Petya técnicamente se lanzó a principios de 2016, antes que WannaCry, pero causó menos estragos en ese momento. Gracias a EternalBlue y al desafortunado éxito de WannaCry, el ransomware Petya tuvo una segunda oportunidad de destrucción. La diferencia clave entre la primera y la segunda versión de Petya era que NotPetya (Petya V2) tenía como objetivo inutilizar completamente un sistema. NotPetya fue un ataque de ransomware con un giro particularmente peligroso: era un virus sin cura. Cifraba de forma permanente la tabla maestra de archivos y el registro de arranque maestro de un ordenador, lo que significaba que, se pagara o no el rescate, no había cura. Se estima que los daños perpetrados por WannaCry y NotPetya suman miles de millones de dólares, siendo NotPetya el más perjudicial.
Otros Ataques Persistentes: Bad Rabbit e Indexsinas
Además de WannaCry y Petya, otros ataques han utilizado la vulnerabilidad EternalBlue. El ataque Bad Rabbit, ocurrido en octubre de 2017, fue un ransomware que se propagó a través de sitios web comprometidos. Las víctimas eran engañadas para descargar un archivo de actualización falso de Adobe Flash. Afectó a importantes organizaciones en Rusia y Ucrania, incluidos aeropuertos y medios de comunicación.
Indexsinas es un gusano que, desde 2019, ha obtenido acceso a servidores Windows mediante la vulnerabilidad EternalBlue. Una vez que el gusano infecta un dispositivo, los atacantes pueden controlarlo a voluntad, eliminando archivos, controlando funciones e incluso vendiendo el acceso a terceros maliciosos. Indexsinas sigue activo, y su captura aún es un objetivo pendiente.
La Persistencia de EternalBlue y la Imperiosa Necesidad de Actualizar
La respuesta corta es que sí, EternalBlue sigue activo. Aunque WannaCry y NotPetya causaron la mayor parte de su daño a principios de 2017, otros ataques que explotan EternalBlue continúan con fuerza. Casi un millón de equipos continúan utilizando el protocolo vulnerable SMBv1 y permanecen en línea, lo que garantiza la persistencia de EternalBlue. Este problema clave es lo que otorga a EternalBlue una vida útil tan prolongada: muchas personas e incluso empresas no actualizan su software con regularidad, lo que deja a sus sistemas operativos sin parchear y, por tanto, vulnerables a EternalBlue y otros ataques.
La amenaza más profunda, sin embargo, puede residir en los exploits sin utilizar que también se liberaron durante el ataque a la NSA a manos de Shadow Brokers. La amenaza más peligrosa que se vislumbra en el horizonte se ha bautizado como EternalRocks, y se dice que utiliza siete exploits, entre los que se encuentran EternalBlue, EternalRomance, EternalSynergy, EternalChampion, ArchiTouch y SMBTouch.
La pregunta clave es: ¿cuál es el costo de EternalBlue y quién lo paga? La respuesta empieza por miles. Algunas organizaciones importantes sufrieron golpes severos. Cuando una red se bloquea en un hospital, los médicos no pueden acceder a información vital para cirugías de vida o muerte o registrar cambios en la medicación, lo que demuestra la gravedad de estas vulnerabilidades.
Medidas de Protección y Cómo Actualizar su Sistema
Para mantenerse protegidos, los usuarios particulares y las empresas que utilizan dispositivos de Microsoft deben realizar actualizaciones periódicas para aplicar parches sobre las vulnerabilidades. La actualización de software que soluciona las vulnerabilidades de EternalBlue (parche MS17-010) tiene un punto débil: debe ser instalada por el usuario. Recomendamos a todos los usuarios de Windows que apliquen el parche de seguridad disponible de Microsoft en MS17-010. Todo lo que tiene que hacer es actualizar su software a la última versión de Windows. Si no lo hace, estará tratando de combatir problemas del presente con herramientas del pasado.
Cómo verificar su sistema operativo y aplicar el parche:
- Dentro del “Panel de control” (en Windows 10, clic derecho sobre el botón de inicio y seleccionar “Panel de Control”), en la vista por categorías seleccionar la opción “Sistema y Seguridad”.
- Entre las opciones disponibles, volver a seleccionar “Sistema” para acceder a ver la información básica del equipo.
- Localice la versión del sistema operativo del equipo donde se va a aplicar el parche.
- Microsoft publicó una “Guía para clientes sobre ataques WannaCrypt” en su blog TechNet donde podrá encontrar los diferentes enlaces a cada una de las diferentes versiones existentes para descargar los parches de actualización específicos.
Además de las actualizaciones, es crucial implementar algún grado de control sobre los datos que entran y salen de los equipos de una red. Muchas compañías decidieron apagar sus computadoras y enviar a los empleados a sus casas, por miedo a que se vieran comprometidas, como medida preventiva.
Es fundamental realizar copias de seguridad regulares de sus datos. En caso de infección, esto le ayudará a recuperar toda su información. No deje conectado a su ordenador el almacenamiento externo utilizado para las copias de seguridad para eliminar el riesgo de infectarlas.
Las empresas de ciberseguridad van en serio. Por ello, empresas como Avast han creado software antivirus para bloquear ataques de ransomware dañinos como WannaCry y Petya, utilizando inteligencia artificial basada en la nube para proporcionar capas de protección contra malware y otras amenazas, incluidas las que usan la vulnerabilidad SMBv1. ESET, por su parte, detecta y bloquea esta amenaza y sus variantes (como WannaCryptor.D). En sistemas no protegidos por ESET, se puede utilizar un exploit de Windows llamado EternalBlue para introducir WannaCryptor.