O que é EternalBlue e como funciona?

O que é EternalBlue?

O EternalBlue é um exploit da Microsoft que foi originalmente usado pela Agência de Segurança Nacional dos EUA (NSA) em operações de inteligência. Oficialmente chamado de MS17-010 pela Microsoft, ele foi responsável por dar à NSA acesso de back-end a dispositivos com sistemas operacionais Windows, como Windows XP e Windows 7.

A NSA só decidiu informar a Microsoft da vulnerabilidade após explorá-la por cinco anos. Infelizmente, já era tarde demais e, como é de se imaginar, o exploit já havia sido vazado por um notório coletivo de hackers conhecido como Shadow Brokers.

O vazamento colocou milhões de usuários em risco e todo o incidente destacou as ameaças representadas pelo desenvolvimento e manutenção de backdoors de software pela NSA.

Como o EternalBlue foi desenvolvido?

O EternalBlue foi desenvolvido pela NSA, que passou anos procurando por vulnerabilidades potenciais no software da Microsoft. Quando finalmente encontrou uma fraqueza no protocolo SMBv1, a NSA desenvolveu seu exploit como uma forma de tirar vantagem dessa falha no sistema – estratégia conhecida como exploração de zero day.

Em vez de alertar a Microsoft sobre os riscos que seus usuários enfrentavam, a NSA usou o EternalBlue para ajudar em operações antiterrorismo e de contrainteligência por meia década. O EternalBlue é apenas um exemplo do uso de exploit e backdoor de software pela NSA.

Quando a NSA finalmente decidiu alertar a Microsoft, medidas foram tomadas para corrigir a vulnerabilidade. A Microsoft lançou patches para o exploit, mas, para muitos casos, já era tarde demais. Vamos agora dar uma olhada mais de perto em como esse exploit realmente funciona.

Como o EternalBlue funciona?

O exploit EternalBlue era empregado para se aproveitar de uma falha de segurança do protocolo SMBv1. Esse protocolo permitia que dispositivos Microsoft se comunicassem com outros sistemas Microsoft — como na transferência ou impressão de arquivos — mas era vulnerável à manipulação.

Para realizar o exploit EternalBlue, os invasores só precisavam enviar um pacote de dados SMBv1 malicioso para um servidor Windows que tivesse essa vulnerabilidade. O pacote conteria uma carga de malware, que poderia então ser rapidamente disseminada para outros dispositivos instalados com o software vulnerável da Microsoft.

Depois que o grupo hacker Shadow Brokers vazou o exploit em 2017, os cibercriminosos se aproveitaram do conhecimento da vulnerabilidade para realizar diferentes tipos de ataque hacker, com resultados devastadores, espalhando grandes quantidades de malware pela rede. Dois incidentes notáveis ​​exemplificam o nível dessa ameaça.

WannaCry

Em 12 de maio de 2017, o ransomware WannaCry começou a se espalhar rapidamente explorando o EternalBlue, infectando 10.000 dispositivos por hora. Em 24 horas, 230.000 máquinas Microsoft Windows foram infectadas em 150 países diferentes. O ransomware, que criptografava dados no dispositivo infectado, acabou impactando grandes organizações como FedEx, Deutsche Bahn e o NHS do Reino Unido. Na contagem final de 2018, Brasil, China, Índia e Turquia foram os principais afetados, com cerca de 200 mil casos cada um.

NotPetya

O ataque de ransomware Petya usou o exploit EternalBlue para se espalhar rapidamente pelos dispositivos Microsoft em 2017. Uma vez instalado, o malware criptografava os dados no dispositivo infectado e exigia um resgate de US$300 em troca de uma chave de descriptografia. No Brasil, um dos maiores afetados, na época foi o Hospital do Câncer de Barretos, no interior de São Paulo, que teve parte de seus processos assistenciais interrompidos em decorrência do ataque.

O EternalBlue ainda está por aí?

A vulnerabilidade explorada pelo EternalBlue foi resolvida com um patch de segurança da Microsoft em 2017, após a NSA ter informado à Microsoft que ela existia. Como resultado, todos os dispositivos Windows com software atualizado estão protegidos contra essa ameaça específica.

Mesmo assim, os ataques perpetrados por meio do EternalBlue ainda ocorrem regularmente. A empresa de segurança Avast estima ter de bloquear, todo mês, cerca de 20 milhões de tentativas de exploração pelo EternalBlue, seja por meio de sites de phishing, scareware ou outras táticas maliciosas na web.

Perigos do EternalBlue

Entre as principais ameaças oferecidas pelo EternalBlue, destacam-se:

• Execução Remota de Código (RCE). O principal perigo do EternalBlue é sua capacidade de executar códigos arbitrários remotamente. Isso significa que, por meio do EternalBlue, os invasores podem obter controle total sobre um sistema afetado sem precisar da interação do usuário. Isso pode ter repercussões que vão desde a perda ou vazamentos de dados até o sequestro do dispositivo para uso em ataques de DDoS.
• Worm autopropagante. O EternalBlue pode ser usado também na criação de malware autopropagante, isto é, malware capaz de se espalhar por redes sem nenhuma interação do usuário. Uma vez que um único sistema é infectado, o malware pode explorar o EternalBlue para se mover lateralmente para outros sistemas vulneráveis.
• Colheita de credenciais. Uma vez que os invasores obtêm acesso a um sistema usando o EternalBlue, eles podem coletar todas as credenciais armazenadas naquele sistema. Com elas, então, eles conseguem acessar sistemas adicionais dentro da mesma rede.
• Desabilitação de ferramentas de segurança. Os invasores podem desabilitar o sistema de segurança e as ferramentas de monitoramento após obter o controle de um dispositivo, tornando mais desafiador detectar e responder à violação.
• Impacto na infraestrutura crítica. Sendo capaz de infectar os mais diversos sistemas e polos da sociedade, o EternalBlue pode representar uma ameaça grave a setores centrais da sociedade, como serviços de saúde, bancos, e companhias de energia e transporte, causando interrupções que podem ter consequências severas.

Diante dessas ameaças importantes, você deve estar se perguntando: como então se proteger?

Como se proteger do EternalBlue?

Para se proteger dos riscos apresentados pelo EternalBlue (e muitas outras ameaças), é recomendável:

• Manter o software atualizado. Se uma lição pode ser tirada da situação do EternalBlue, é a importância de se atualizar todo software. Assim que as atualizações estiverem disponíveis para aplicativos e sistemas operacionais, instale-as para que você possa se beneficiar dos patches de segurança mais recentes.
• Instalar um antimalware. Certifique-se de que seu dispositivo esteja protegido com um software antimalware forte. Esses sistemas podem proteger seu dispositivo de software malicioso e outras ameaças online, embora — como todas as ferramentas de segurança cibernética — nenhum deixe você completamente em segurança.
• Desconfiar de links suspeitos: Mesmo que você não corra mais riscos com o EternalBlue, você ainda pode baixar malware clicando em um link perigoso. E-mails de phishing geralmente tentam induzir você a visitar páginas que infectam seu dispositivo. Para se proteger, nunca clique em um link em uma mensagem online a menos que você tenha certeza absoluta de que o remetente é genuíno.
• Obter o recurso adicional Proteção Contra Ameaças Pro™ da NordVPN. A Proteção Contra Ameaças Pro™ é um poderoso conjunto de ferramentas para manter você em segurança na internet. Além de bloquear anúncios e rastreadores online, a Proteção Contra Ameaças Pro™ verifica downloads em busca de malware e impede que você visite sites conhecidos por instalar software malicioso.
• Manter backups. Os backups regulares podem ser de grande valor caso você seja afetado por um ransomware, permitindo a rápida restauração dos seus dados sem grandes perdas. Então, é recomendável manter backups atualizados de dados importantes.
• Relatar às autoridades. Caso seja vítima de um incidente cibernético, seja relacionado ao EternalBlue ou não, é importante levar o caso às autoridades. Elas não somente saberão como mitigar os danos do episódio, como também poderão evitar que outras pessoas caiam na mesma armadilha.