EternalBlue y DoublePulsar se usaron para distribuir el ramsonware WannaCry

El nombre de la herramienta DoublePulsar es familiar no solo para los expertos en seguridad informática sino también para una gran cantidad de usuarios. De hecho las herramientas EternalBlue y DoublePulsar se usaron para distribuir el ramsonware WannaCry durante los ataques masivos que tuvieron lugar en mayo de 2017, sobre los cuales tanto los especialistas como los medios han hablado repetidamente.

La herramienta DoublePulsar pertenecía originalmente a los servicios secretos estadounidenses, sin embargo en 2016 la agrupación ‘The Shadow Brokers’ consiguió hacerse con la herramienta de la NSA, y en abril de 2017 fue publicada en Internet de forma gratuita.

Desde ese momento, tanto los especialistas en seguridad de la información como los delincuentes han estado estudiado cuidadosamente dichas herramientas de los servicios especiales y les han encontrado una variedad de aplicaciones. Así, los exploits DoublePulsar y EternalBlue han evolucionado en una variedad de malware, adaptándose para funcionar en Windows 8, Windows 8.1, Windows Server 2012 y Windows 10, aunque en un principio estaban destinados exclusivamente para perpetrar ataques contra Windows XP, Windows Vista, Windows 7, Windows Server 2003 y Windows Server 2008.

Ahora, ha sido un especialista en seguridad informática independiente, conocido en la red bajo el seudónimo de ‘Captain Meelo’, el que ha modificado la herramienta DoublePulsar para que funcione en dispositivos que ejecutan Windows Embedded (aunque ahora mismo el sistema operativo se denomina Windows IoT debido a la reciente renovación de marca). Esta versión de Windows se usa en dispositivos IoT, PoS, cajeros automáticos, etc.

Cabe señalar que DoublePulsar no está diseñado para su uso independiente en absoluto. Por lo general, se utiliza en combinación con otras soluciones, en particular, requiere la framework FuzzBunch, así como otros exploits (EternalBlue, EternalSynergy, EternalRomance, etc…). Estas herramientas se utilizan para llevar a cabo correcciones en el sistema operativo de destino, y DoublePulsar se instala en una de las últimas etapas, funcionando como una puerta trasera.

Capitán Meelo descubrió que, aunque Windows Embedded era vulnerable al exploit de la NSA, el uso de los módulos correspondientes de Metasploit no tenía éxito.

Resultó que, en el caso de Windows Embedded, el módulo EternalBlue funcionaba como debería, pero fallaba la instalación de DoublePulsar. Como resultado, el investigador realizó una auditoría detallada del código, tratando de encontrar la causa de estos fallos, y descubrió que DoublePulsar fue creado de tal manera que antes de la infección, verifique la versión de Windows en la máquina víctima, y en base a ella, use una ruta para la instalación en Windows 7 y otra para otras plataformas. Windows Embedded en este esquema no estaba previsto en absoluto, lo que conducía al error.

Capitán Meelo eliminó este pequeña fallo, y ahora el exploit usa la forma correcta de configurarlo, trabajando como debería.

Hay que tener en cuenta que en la red, lamentablemente, todavía se puede encontrar una gran cantidad de dispositivos en los que el protocolo SMBv1 está activo, lo que incluso desaconsejan los desarrolladores de Microsoft. Además, cabe señalar que existe un parche crítico que cubre las vulnerabilidades previamente explotadas por la NSA. Esta corrección se publicó en marzo de 2017 (MS17-010). Además, en mayo de 2017, cuando con la ayuda de estos exploits comenzó a extenderse WannaCry, Microsoft también liberó parches de emergencia para sistemas operativos como Windows XP, Windows 8 y Windows Server 2003.