# CVE-2017-0143 > [!high] EternalBlue - Execução Remota de Código via SMBv1 > Vulnerabilidade crítica no protocolo SMBv1 do Windows, explorada pela ferramenta **EternalBlue** vazada da NSA. Base técnica dos ataques **WannaCry** e **NotPetya** que causaram bilhões em danos globais. ## Visão Geral CVE-2017-0143, popularmente conhecido como **EternalBlue**, é uma vulnerabilidade de execução remota de código no protocolo Server Message Block (SMBv1) do Microsoft Windows. A falha permite que um atacante não autenticado envie pacotes especialmente construídos ao serviço SMB (porta 445/TCP) e execute código arbitrário com privilégios de SISTEMA, sem qualquer interação do usuário. A vulnerabilidade foi originalmente descoberta e explorada pela NSA como zero-day, e vazou públicamente em abril de 2017 pelo grupo The Shadow Brokers. Em maio de 2017, tornou-se o núcleo técnico do ransomware [[2017-05-wannacry|WannaCry]], que infectou mais de 200.000 sistemas em 150 países em 72 horas. Semanas depois, o ataque [[2017-06-notpetya|NotPetya]] utilizou a mesma base para um ataque de sabotagem que causou prejuízos estimados em mais de 10 bilhões de dólares. No Brasil, hospitais, bancos e órgãos governamentais foram impactados diretamente. ## Como Funciona A falha reside na implementação da função `SrvOs2FeaListSizeToNt()` no driver `srv.sys` do Windows, que falha em calcular corretamente o tamanho de uma lista de atributos de arquivo (FEA). O erro de conversão causa um integer overflow que resulta em um heap buffer overflow no pool não-paginado do kernel, permitindo sobrescrever estruturas de dados críticas e redirecionar o fluxo de execução. O exploit EternalBlue funciona em múltiplos estágios: primeiro cria uma primitiva de leitura/escrita arbitrária no kernel via grooming de heap, depois injeta e executa shellcode no contexto SYSTEM. ## TTPs Relacionados - [[t1210-exploitation-of-remote-services|T1210 - Exploitation of Remote Services]] - exploração via SMB - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - movimento lateral - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - ransomware derivado - [[t1059-001-powershell|T1059.001 - PowerShell]] - execução pós-exploração ## Impacto Global Os ataques derivados de EternalBlue representam alguns dos mais destrutivos da história. WannaCry paralisou o NHS britânico, fábricas da Renault e sistemas governamentais. NotPetya destruiu infraestrutura da Maersk, Merck, FedEx e Mondelez. No Brasil, o INSS, Tribunal de Justiça de SP e múltiplos hospitais foram afetados. ## Detecção e Defesa - Aplicar [[m1050-exploit-protection|M1050]] - desabilitar SMBv1 imediatamente - Aplicar patch MS17-010 (março 2017) em todos os sistemas Windows - Bloquear porta 445/TCP em firewalls de perímetro e entre segmentos - Monitorar via [[t1046-network-service-discovery|T1046]] - detecção de scanning SMB - Regras Sigma: detecção de pacotes SMB malformados, acesso a `\PIPE\` incomum ## Referências - [Microsoft Security Bulletin MS17-010](https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010) - [Shadow Brokers Leak - TheShadowBrokers](https://github.com/misterch0c/shadowbroker) - [MITRE ATT&CK - EternalBlue](https://attack.mitre.org/software/S0363/)