Con los recientes ciberataques masivos perpetrados con el ransomware WannaCry y el wiper NotPetya, las alertas para todos los usuarios que utilizan sistemas operativos Windows se han encendido. El sentido común nos dice que al menos debemos revisar nuestro sistema para descartar que no seamos vulnerables y, precisamente, hay una herramienta gratuita y portable que lo facilita.
Eternal Blues es un software que con solo ejecutarlo y clicar sobre la opción de ‘Scan’, empezará a hurgar en nuestra red local en busca de los puertos y servicios disponibles tratando de localizar las vulnerabilidades que han sido recién explotadas por los hackers.
Eternal Blues busca la existencia de la vulnerabilidad EternalBlue (utilizada por WannaCry, NotPetya y otros malwares) enviando cuatro paquetes vía mensajes SMB. Si la respuesta que recibe Eternal Blues es “STATUS_INSUFF_SERVER_RESOURCES” esto sería indicativo de que la máquina no tiene instalado el parche de Microsoft que elimina la vulnerabilidad. Así, los resultados que nos devuelve Eternal Blues en pantalla pueden ser variados, así que es importante saberlos interpretar. Entre los hallazgos podremos encontrarnos:
- NO — indicando que ni los puertos ni las vulnerabilidades se encuentran presentes.
- NO (SMBv1 Enabled) — indicando que no hay puertos abiertos ni las vulnerabilidades están presentes, sin embargo el módulo SMBv1 esta activado y puede implicar un riesgo para la seguridad del ordenador.
- NO Response — indicando que la IP escaneada se encuentra inactiva.
- YES — indicando que el ordenador esta vulnerable a un ataque con WannaCry, NotPetya, y cualquier malware que utilice exploits similares.
En caso de que nuestro ordenador sea vulnerable, lo indicado es que tomemos las siguientes medidas:
- Instalar la actualización MS17-010 de Microsoft para sus sistemas Windows.
- Desactivar SMBv1 de ser posible. Aquí una explicación de Microsoft de cómo lograrlo en cada versión de su sistema Windows.
- Entre las medidas adicionales que algunos expertos en seguridad recomiendan se encuentran:
- Bloquear el tráfico entrante SMB a través del puerto 445.
- Si lo anterior no es posible, bloquear los puertos 139 y 445.
- Desactivar la conexión remota a WMI y la opción para compartir archivos al mismo tiempo.
No hace falta mencionar que Eternal Blues esta diseñado exclusivamente para escanear la vulnerabilidad EternalBlue, así que no la utilicen como reemplazo de ninguna herramienta de seguridad, sino más bien como un software de apoyo que nos dará una vista rápida de los ordenadores vulnerables para que tomemos acciones.
Pueden descargar Eternal Blues de forma gratuita desde la web oficial de su creador, el investigador en seguridad Elad Erez.