15/05/2017 15:32:55

Debido a que la llegada del virus Wannacry ha generado y está generando mucho ruido mediático, he decidido informarme y tomar algunas notas técnicas sobre el asunto.

[En algún momento en el pasado] Algún programador comete un error en la implementación del protocolo SMB. Ese error quedará latente en el código de windows hasta que alguien decida explotarlo….

[En algún momento en el pasado] Los hackers de la Agencia de Seguridad Americana (NSA) deciden coleccionar una serie de exploits de Windows para utilizarlos supongo que contra los malos: hackear sistemas informáticos del enemigo. El caso es que estos //exploits// acaban liberándose….

Primeras notificaciones de un virus de este tipo en Febrero 2017. Curiosamente, el Spanish CERT ya avisó entonces del problema.

En algún momento antes del 14 de Mayo de 2017: Microsoft libera un parche de seguridad llamado ms17-010, que como dice el propio parche resuelve un problema de seguridad que permite la ejecución remota de código a través de SMB.

La cosa tiene su miga, ya que todos los sistemas windows incorporan de serie un servidor de carpetas compartidas: es decir, una implementación del protocolo SMB, por lo que los clientes potenciales son muchísimos. También es verdad que las “carpetas compartidas” no se ponen públicamente en internet, por lo que el riesgo estaba contenido.

Los malos esta vez se dieron prisa:

Primer exploit el 14 de abril (al cabo de un mes): aunque esto no es necesariamente cosa de “los malos”. A veces estos exploits son simplemente una demostración del alcance que tiene la vulnerabilidad y para que la gente de seguridad tome consciencia del riesgo

Parece ser que viene en dos partes. En la página malwareless explica cómo funciona.

La primera parte curiosamente, la han hecho los buenos: se trata de un programa hecho por la NSA Americana para explotar las vulnerabilidades de Windows. Este programa usa la vulnerabilidad del protocolo SMB para infectar el ordenador vulnerable. Éso es lo que le hace particularmente virulento a este software: no precisa descargar ningún adjunto, ni que el usuario ejecute o visualice ningún correo o mensaje, se ejecuta simplemente por estar en una red donde hay ordenadores infectados.

La segunda parte es un cifrador de ficheros, que es el que hace el verdadero mal: escanea todo el disco duro de la máquina infectada, cifra el contenido y lo deja con la extensión .wncry. A partir de ese punto, ya sólo queda pagar por intentar rescatar nuestros ficheros o tirar de backup.

Las extensiones de ficheros afectadas son de muchos tipos:

• Commonly used office file extensions (.ppt, .doc, .docx, .xlsx, .sxi)
• Archives, media files (.zip, .rar, .tar, .bz2, .mp4, .mkv)
• Emails and email databases (.eml, .msg, .ost, .pst, .edb)
• Database files (.sql, .accdb, .mdb, .dbf, .odb, .myd)
• Developers’ sourcecode and project files (.php, .java, .cpp, .pas, .asm)
• Encryption keys and certificates (.key, .pfx, .pem, .p12, .csr, .gpg, .aes)
• Graphic designers, artists and photographers files (.vsd, .odg, .raw, .nef, .svg, .psd)
• Virtual machine files (.vmx, .vmdk, .vdi)

Microsoft ha dicho a la NSA que a ver en qué lado de la cancha juegan: https://www.forbes.com/sites/thomasbrewster/2017/05/14/microsoft-just-took-a-swipe-at-nsa-over-wannacry-ransomware-nightmare/#6e0039853585 (to take a swipe at somebody: lanzar un directo).

La cosa ha tenido tal difusión e impacto que Microsoft ha publicado un parche para los Windows XP, a pesar de que el soporte para estos sistemas está descontinuado desde hace tiempo.