# CVE-2017-0145 > [!high] EternalRomance - RCE via SMBv1 (Componente NotPetya) > Segunda vulnerabilidade SMBv1 do arsenal NSA/Shadow Brokers, utilizada em conjunto com **EternalBlue** nos ataques **NotPetya** de 2017. Permite execução remota de código em versões legadas do Windows sem autenticação. ## Visão Geral CVE-2017-0145, conhecido como **EternalRomance**, é uma vulnerabilidade de execução remota de código no protocolo SMBv1 do Windows. Faz parte do mesmo conjunto de exploits vazados pelo grupo The Shadow Brokers em abril de 2017, junto com [[cve-2017-0143|CVE-2017-0143]] (EternalBlue). Enquanto EternalBlue foi mais amplamente utilizado pelo [[2017-05-wannacry|WannaCry]], EternalRomance foi uma peça central no ataque [[2017-06-notpetya|NotPetya]] orquestrado pelo grupo [[sandworm|Sandworm]], vinculado à inteligência militar russa (GRU). A exploração aproveita uma falha de type confusion no processamento de transações SMB, permitindo sobrescrever a memória do kernel de forma mais confiável em sistemas Windows mais antigos (XP, Vista, 7). Sua presença junto com EternalBlue no arsenal NotPetya demonstrou a profundidade do preparo ofensivo do Sandworm para a operação de sabotagem ucraniana que se espalhou globalmente. ## Como Funciona EternalRomance explora uma condição de type confusion durante o processamento de transações SMB Type 2 (`SMB_COM_TRANSACTION2`). A falha permite escrever dados controlados pelo atacante em endereços de memória arbitrários do kernel, configurando uma primitiva de escrita que eventualmente leva à execução de código com privilégios de SISTEMA. É particularmente eficaz em sistemas sem ASLR configurado adequadamente. ## TTPs Relacionados - [[t1210-exploitation-of-remote-services|T1210 - Exploitation of Remote Services]] - vetor inicial via SMB - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - propagação lateral - [[t1561-002-disk-content-wipe|T1561.002 - Disk Content Wipe]] - componente destrutivo do NotPetya - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - impacto final ## Impacto e Contexto LATAM NotPetya utilizando EternalRomance causou danos estimados em mais de 10 bilhões de dólares globalmente. Embora o alvo primário fosse a Ucrânia, empresas com operações na América Latina sofreram impacto por contaminação via redes corporativas globais. Maersk, com presença em todos os portos brasileiros, ficou offline por semanas. ## Detecção e Defesa - Desabilitar SMBv1 via Group Policy ou PowerShell: `Set-SmbServerConfiguration -EnableSMB1Protocol $false` - Aplicar patch MS17-010 (março 2017) - cobre EternalBlue e EternalRomance - Segmentar redes para bloquear SMB lateral - Monitorar [[m1031-network-intrusion-prevention|M1031]] - detecção de anomalias SMB ## Referências - [Microsoft MS17-010](https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010) - [WIRED - NotPetya Analysis](https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/) - [MITRE ATT&CK - NotPetya](https://attack.mitre.org/software/S0368/)