¿Sabes qué es MS17-010 y por qué es un término tan conocido en ciberseguridad? En este post te detallamos en qué consiste y cuál es su relación con el ransomware WannaCry.
Un poco de contexto
Algunos ciberataques marcaron la historia del hacking, debido a que causaron un impacto global. Uno de ellos, quizás el más famoso de todos, fue el ataque con el ransomware WannaCry en el año 2017, que se propagó a más de 150 países en menos de tres días.
Un ransomware es un tipo de malware que se encarga de cifrar los ficheros más importantes de un ordenador y exige el pago de un rescate a cambio de la clave para descifrarlos. Dicho pago debe hacerse, normalmente, por medio de criptomonedas para dificultar el rastreo de los atacantes. La cantidad de dinero exigido puede variar según la víctima seleccionada y el tipo de ransomware utilizado.
Los atacantes del ransomware WannaCry les exigían a sus víctimas un pago de 300 dólares por rescate. En total, los hackers recaudaron alrededor de 90.000 dólares, una suma de dinero muy baja comparada con el nivel de daño que causó. Una de las organizaciones más afectadas por el ransomware WannaCry fue el Servicio Nacional de Salud (NHS) de Inglaterra, cuyas pérdidas alcanzaron las 92 millones de libras esterlinas.
Todo este caos se habría podido evitar en el caso de que todos los ordenadores de aquella época con sistemas operativos Windows 7 y XP hubiesen tenido instalada una actualización. En este post, hablaremos sobre cuál fue este parche de seguridad y las vulnerabilidades informáticas que aún cubre. A continuación, te explicaremos qué es MS17-010.
¿Qué es MS17-010?
MS17-010 es un parche de seguridad para sistemas operativos Windows que fue publicado por la compañía tecnológica el 14 de marzo de 2017. El parche sirve para cubrir vulnerabilidades informáticas críticas del sistema, que le permiten a un ciberatacante hacer una ejecución remota de código en el ordenador de la víctima. De hecho, justo eso fue lo que ocurrió masivamente dos meses después de que la actualización ms17010 se hiciese pública.
El parche de seguridad ms017-010 está diseñado para resolver vulnerabilidades relacionadas con el envío de mensajes a servidores de Microsoft Server Message Block 1.0 (SMBv1). Por medio de mensajes diseñados de manera especial, era posible usar un fallo en estos servidores para ejecutar código malicioso en el ordenador infectado.
Exploit EternalBlue
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaAhora que sabes qué es MS17-010 y el tipo de vulnerabilidades que cubre, hablaremos sobre el programa que se utilizó para explotarlas, mejor conocido como EternalBlue.
Durante el 12, 13 y 14 de mayo de 2017, casi todos los ordenadores con sistemas operativos Windows 7, Vista y XP que no habían instalado el parche de seguridad MS17-010 fueron víctimas del ransomware WannaCry, el cual entró en sus sistemas gracias al exploit EternalBlue.
Un exploit es un software que utiliza una vulnerabilidad informática para infiltrarse en el sistema de una víctima. EternalBlue es un exploit desarrollado para aprovechar las vulnerabilidades de SMBv1 con el fin de hacer una ejecución remota de código en el ordenador atacado.
El exploit eternalblue ms17-010 fue filtrado por un grupo de hackers llamado The Shadow Brokers, que se hizo famoso por supuestamente hackear a la NSA (Agencia de Seguridad Nacional) de Estados Unidos y filtrar algunas de sus herramientas de ciberseguridad. Dentro de ellas se encontraba el exploit EternalBlue, que se utilizó para propagar el ransomware WannaCry.
¿Cómo saber si MS17-010 está instalado?
Ahora sabes qué es MS17-010 y conoces la importancia de tenerlo instalado en los sistemas operativos más vulnerables. Actualmente, es posible que algunos ordenadores aún trabajen con sistemas operativos de Microsoft Windows antiguos. Algunas organizaciones industriales o de salud, por ejemplo, los utilizan para operar softwares que ya no se fabrican. Por eso, aún es posible encontrar vulnerabilidades en Microsoft Server Message Block 1.0 para explotar con EternalBlue.
Si deseas poner esto a prueba en un sistema, puedes usar la herramienta Metasploit para escanear las vulnerabilidades relacionadas. De hecho, en ejercicios de hacking ético, puedes utilizar el exploit EternalBlue tú mismo y ejecutar código de forma remota en una máquina. Estas acciones se deben hacer de manera responsable y con la debida autorización del dueño del sistema.
¿Cómo aprender más?
Ya has aprendido qué es MS17-010 y por qué es un concepto tan importante en ciberseguridad. Si quieres saber más sobre temas como pentesting, análisis de malware, criptografía y muchos otros, en KeepCoding tenemos la formación ideal para que sigas aprendiendo e impulses tu carrera laboral en el sector IT. Ingresa a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en tan solo 7 meses. ¡No sigas esperando y solicita ahora más información!
