# CVE-2017-0144 - EternalBlue (MS17-010) SMBv1 RCE > [!critical] CVSS 9.3 - CISA KEV - Exploração Histórica Catastrófica > EternalBlue é a vulnerabilidade mais devastadora da última década, usada nos ataques WannaCry e NotPetya que causaram mais de 10 bilhões de dólares em danos globais. Desenvolvida pela NSA como arma ofensiva e vazada públicamente em 2017, o exploit permite RCE sem autenticação em qualquer versão do Windows com SMBv1 ativo. ## Visão Geral CVE-2017-0144, universalmente conhecida como **EternalBlue**, é uma vulnerabilidade crítica no protocolo [[SMBv1]] do [[_microsoft|Microsoft Windows]] que permite execução remota de código sem autenticação. A falha foi desenvolvida pela [[NSA]] como ferramenta ofensiva e vazada públicamente pelo grupo [[Shadow Brokers]] em abril de 2017. O exploit aciona um buffer overflow no handler SMBv1, permitindo que um atacante remoto execute código arbitrário com privilégios de SYSTEM sem qualquer interação do usuário. O impacto global foi catastrófico: explorada pelo [[g0032-lazarus-group|Lazarus Group]] no ransomware [[wannacry|WannaCry]] em maio de 2017, a vulnerabilidade infectou mais de 230.000 sistemas em 150 países em apenas 24 horas, afetando hospitais, ferrovias, bancos e telecomúnicações. Semanas depois, o grupo [[g0034-sandworm|Sandworm]] a utilizou no wiper [[notpetya-2017|NotPetya 2017]], causando mais de US$ 10 bilhões em danos globais - o ataque cibernético mais destrutivo da história até então. A [[_microsoft|Microsoft]] lançou patch emergêncial MS17-010 em março de 2017, inclusive para versões fora de suporte como Windows XP. O que torna EternalBlue especialmente perigosa é sua capacidade de propagação autônoma (wormable): uma vez que um sistema é comprometido, o exploit busca automaticamente outros hosts SMB na rede local e os infecta sem necessidade de interação humana. Esse comportamento de worm transformou o WannaCry e o NotPetya em eventos de propagação exponencial impossíveis de conter sem isolamento de rede. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Status | |--------|---------|----------------|--------| | Microsoft | Windows XP | SP3 (32/64-bit) | Fora de suporte - patch emergêncial | | Microsoft | Windows Vista | SP2 | Fora de suporte - patch emergêncial | | Microsoft | Windows 7 | SP1 (32/64-bit) | Patch MS17-010 | | Microsoft | Windows 8.1 | - | Patch MS17-010 | | Microsoft | Windows 10 | 1703 e anteriores | Patch MS17-010 | | Microsoft | Windows Server 2003 | SP2 | Fora de suporte - patch emergêncial | | Microsoft | Windows Server 2008 | SP1/SP2/R2 | Patch MS17-010 | | Microsoft | Windows Server 2012 | R2 | Patch MS17-010 | | Microsoft | Windows Server 2016 | - | Patch MS17-010 | ## Detalhes Técnicos A vulnerabilidade existe no driver `srv.sys` do Windows que implementa o protocolo SMBv1. O exploit EternalBlue envia requisições SMB Transaction2 malformadas que causam um buffer overflow no pool de memória do kernel (pool overflow). Isso permite sobrescrever estruturas de memória do kernel e executar shellcode com privilégios de SYSTEM. **Exploit chain (NSA/Shadow Brokers leak):** 1. **EternalBlue** - explora buffer overflow no SMBv1 para obter execução remota 2. **DoublePulsar** - backdoor de kernel implantado como segundo estágio 3. **Payload** - WannaCry/NotPetya/malware adicional injetado via DoublePulsar ```mermaid graph TB A["🌐 Escaneamento SMB<br/>Porta 445/TCP"] --> B["💥 EternalBlue<br/>Buffer overflow srv.sys"] B --> C["🔑 Privilégio SYSTEM<br/>Execução no kernel"] C --> D["🚪 DoublePulsar<br/>Backdoor instalado"] D --> E1["🔐 WannaCry<br/>Ransomware + worm"] D --> E2["💣 NotPetya<br/>Wiper destrutivo"] E1 --> F["📡 Propagação automática<br/>para próximos hosts SMB"] E2 --> F ``` ## Mitigação **Correção definitiva:** - Aplicar patch **MS17-010** imediatamente (disponível desde março de 2017) - Para Windows XP/2003 fora de suporte: baixar patches emergênciais do [Microsoft Security TechCenter](https://support.microsoft.com/en-us/help/4012598) **Desabilitar SMBv1 (crítico):** ```powershell # PowerShell - desabilitar SMBv1 (servidor) Set-SmbServerConfiguration -EnableSMB1Protocol $false # PowerShell - desabilitar SMBv1 (cliente) Set-SmbClientConfiguration -EnableSMB1Protocol $false # Verificar status Get-SmbServerConfiguration | Select EnableSMB1Protocol ``` **Controles de rede:** - Bloquear porta **445/TCP** e **139/TCP** no perímetro e entre segmentos de rede - Implementar microssegmentação para limitar propagação lateral de worms - Monitorar escaneamentos internos de porta 445 como indicador de comprometimento > [!latam] Relevância LATAM/Brasil > O WannaCry impactou severamente organizações brasileiras em maio de 2017, incluindo instituições do setor público, hospitais e empresas de telecomúnicações. O Tribunal de Justiça de São Paulo (TJSP), Vivo, INSS e diversas prefeituras reportaram infecções. O CERT.br emitiu alerta de emergência. Segundo dados da Kaspersky LATAM, o Brasil foi o segundo país mais afetado da América Latina no episódio WannaCry. Organizações com Windows XP e SMBv1 ativo - ainda comuns em ambientes hospitalares e governamentais brasileiros em 2017 - foram as mais vulneráveis. Mesmo hoje, scanners como Shodan encontram milhares de hosts brasileiros com porta 445 exposta. ## Indicadores de Comprometimento > [!ioc]- IOCs - EternalBlue / WannaCry (TLP:CLEAR) > **Porta de escaneamento:** > `445/TCP` - SMBv1 exploitation > > **Arquivo WannaCry (SHA256):** > `24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c` > > **Kill switch WannaCry (domínio):** > `iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com` > > **Assinatura de rede (DoublePulsar):** > Requisições SMB Trans2 SESSION_SETUP malformadas na porta 445 > > **Fontes:** [Malware Traffic Analysis](https://www.malware-traffic-analysis.net) · [Mandiant](https://www.mandiant.com/resources/blog) ## Referências - [NVD - CVE-2017-0144](https://nvd.nist.gov/vuln/detail/CVE-2017-0144) - [Microsoft Bulletin MS17-010](https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010) - [CISA KEV Entry](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Kaspersky - WannaCry Analysis](https://securelist.com/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/78351/) ## Notas Relacionadas **Atores:** [[g0032-lazarus-group|Lazarus Group]] · [[g0034-sandworm|Sandworm]] **Campanhas:** [[wannacry|WannaCry]] · [[notpetya-2017|NotPetya 2017]] **TTPs:** [[t1210-exploitation-of-remote-services|T1210 - Exploitation of Remote Services]] · [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] · [[t1485-data-destruction|T1485 - Data Destruction]] · [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] **Setores em risco:** [[healthcare|saúde]] · [[government|governo]] · [[financial|financeiro]] · [[critical-infrastructure|infraestrutura crítica]]