ETERNALBLUE

Utilidad para testear la vulnerabilidad a EternalBlue

Si estáis al día sobre asuntos de ciberseguridad seguro que ya conocéis los principales detalles sobre la amenaza EternalBlue, un exploit que aprovecha una vulnerabilidad sobre el protocolo SMB v1.0 presente en sistemas Windows, para distribuir malware como Wannacry o el más reciente NotPetya, y es seguro que nuevas amenazas similares continuarán apareciendo.

A su creador, Elad Pérez, debemos esta interesante herramienta que os recomiendo poner en práctica a todos para auditar los sistemas informáticos de vuestra casa o empresa. Antes de nada, conviene decir que NO explota la vulnerabilidad y por tanto no causa daño alguno en el sistema.

Lo que hace es realizar la negociación inicial e informar de si el sistema es realmente vulnerable a amenazas como Wannacry o cualesquiera otras distribuídas mediante los exploits EternalBlue y EternalRomance. Eso sí, en entornos corporativos avisad por favor a los chicos de seguridad porque podrían saltar alarmas en los sistemas de monitorización.

Como auditar la vulnerabilidad a EternalBlue

La herramienta Eternal Blues es gratuita, funciona con un clic de ratón y es muy útil tenerla a mano, sobre todo en entornos corporativos donde los sistemas son más heterogéneos. Elad Erez, Director de Innovación en Imperva, ha puesto en marcha este proyecto a título personal:

La motivación para crear dicha herramienta llegó justo después de la reciente propagación masiva de Wannacry mediante SMBv1. Me sorprendió la cantidad de sistemas expuestos al peligro.

Si tenemos en cuenta que con el último ciberataque -el denominado NotPetya- los atacantes sólo necesitaron comprometer un equipo vulnerable para derribar una red entera, poner en marcha estos mecanismos es obligado. No es el santo Grial, hay más formas de saber si somos vulnerables a EternalBlue o EternalRomance, pero desde luego es la forma más rápida y fácil, ideal para empresas sin departamento de seguridad propio.

Testear la vulnerabilidad a EternalBlue

En términos más técnicos, lo que hace es comprobar la negociación de 4 fases o mensajes de tipo SMB:

  • SMB Negotiate Protocol
  • SMB Session Setup AndX Request
  • SMB Tree Connect (to IPC$)
  • SMB Peek Named Pipe

El objetivo es que al final la herramienta reciba un mensaje STATUS_INVALID_HANDLE / STATUS_ACCESS_DENIED que quiere decir que el equipo está parcheado.

Si, por el contrario, aparece STATUS_INSUFF_SERVER_RESOURCES as the SMB querrá decir que es vulnerable.

Otro mensaje que podemos recibir es el de NO RESPONSE, que quiere decir que no hay conexión a ningún dispositivo en dicha IP.

Realizar el análisis con Eternal Blues

Para lanzar un análisis basta con descargar Eternal Blues aquí y realizar estos pasos:

  1. Descarga EternalBlues aquí
  2. Selecciona un IP Range en la parte superior. Si solamente quieres el host actual pon el mismo valor de IP en ambas casillas.
  3. Pulsa el botón Scan y espera resultados.

Análisis de vulnerabilidades Eternal Blues

Eternal Blues versión 0.0.0.5

Algunos usuarios han reportado algunas mejoras posibles en la versión 0.0.0.3 y ya han sido incluidas en la versión actualizada, por ejemplo se han solucionado algunos fallos en la detección de rangos de sub-redes y un problema con equipos Windows Server 2003, que aparecían como vulnerables incluso teniendo deshabilitado el protocolo citado.

Desactivar SMB v1 en Windows

Si hemos recibido avisos de vulnerabilidad con esta u otra herrami  enta y aún no hemos deshabilitado el protocolo SMB v1.0 lo podremos desactivar del siguiente modo:

  • Abriremos una ventana de PowerShell con privilegios administrativos
  • Escribiremos el siguiente texto:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
  • Confirmaremos con “S”.

Desactivar SMB1.0

Palabras finales

Espero que os haya gustado el artículo de hoy y sobre todo, espero que lo utilicéis 🙂 dado que estamos en pleno apogeo del ransomware y esta herramienta os ayudará a detectar exploits basados en SMB v1 como EternalBlue, EternalRomance y los que vengan. Finalmente, hemos visto como deshabilitar este protocolo obsoleto en un paso.

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s