Windows: Código de detención 0x50 srv.sys causado por el exploit EternalBlue

Microsoft publicó un boletín de seguridad sobre SMBv1.0. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un atacante envía mensajes especialmente diseñados a un servidor de Microsoft Server Message Block 1.0 (SMBv1).

Para identificar que este problema ocurre, analice la pila en el volcado de memoria y encuentre estas líneas específicas:
 

ffffd001`078b0700 fffff801`71252360 nt!KiPageFault+0x12f
ffffd001`078b0890 fffff801`712522a5 srv!SrvOs2FeaToNt+0x48
ffffd001`078b08c0 fffff801`7127369b srv!SrvOs2FeaListToNt+0x125
ffffd001`078b0910 fffff801`7127c8ba srv!SrvSmbOpen2+0xc3
ffffd001`078b09b0 fffff801`7127fb2e srv!ExecuteTransaction+0x2ca
ffffd001`078b09f0 fffff801`7120d84f srv!SrvSmbTransactionSecondary+0x40b
ffffd001`078b0a90 fffff801`7120da20 srv!SrvProcessSmb+0x237
ffffd001`078b0b10 fffff801`7124cac8 srv!SrvRestartReceive+0x114
ffffd001`078b0b50 fffff800`13591306 srv!WorkerThread+0x5248
ffffd001`078b0bd0 fffff800`1317f280 nt!IopThreadStart+0x26
ffffd001`078b0c00 fffff800`131d89c6 nt!PspSystemThreadStartup+0x58
ffffd001`078b0c60 00000000`00000000 nt!KiStartSystemThread+0x16 

Sistemas afectados:
Windows Server 2008
, Windows Server 2008 R2
, Windows Server 2012
, Windows Server 2012 R2
, Windows Server 2016
, Windows 7
, Windows 8
, Windows 8.1
, Windows 10
 

.

Microsoft publicó una entrada de blog sobre SMB1 en la que explica que está obsoleta y que no se debe utilizar en las versiones más recientes del SO.

Dado que este problema es causado por un exploit, es necesario ejecutar un programa antivirus en el sistema afectado.

Soluciones alternativas

Las siguientes soluciones alternativas pueden ser útiles en su situación:

• Deshabilitar SMBv1

  Para los clientes que ejecutan Windows Vista y versiones posteriores

  Consulte el artículo 2696547 de la base de conocimientos de Microsoft.

  Método alternativo para los clientes que ejecutan Windows 8.1 o Windows Server 2012 R2 y versiones posteriores

  Para sistemas operativos cliente:

  1. Abra el Panel de control, haga clic en Programas y, a continuación, haga clic en Activar o desactivar las características de Windows.
  2. En la ventana Características de Windows, desmarque la casilla de verificación Compatibilidad con el uso compartido de archivos SMB1.0/CIFS y, a continuación, haga clic en Aceptar para cerrar la ventana.
  3. Reinicie el sistema.
      

  Para sistemas operativos de servidor:

  1. Abra el Administrador de servidores y, a continuación, haga clic en el menú Administrar y seleccione Eliminar funciones y características.
  2. En la ventana Características, desmarque la casilla de verificación Compatibilidad con el uso compartido de archivos SMB1.0/CIFS y, a continuación, haga clic en Aceptar para cerrar la ventana.
  3. Reinicie el sistema.
      

  Impacto de la solución alternativa. El protocolo SMBv1 está deshabilitado en el sistema de destino.
  SMBv1.0 ofrece soporte para sistemas heredados (Windows XP, Windows Vista, Windows 2000, Windows 2003, Windows 2003 R2).

  Cómo deshacer la solución alternativa. Vuelva sobre los pasos de la solución alternativa y seleccione la casilla de verificación Compatibilidad con uso compartido de archivos SMB1.0/CIFS para restaurar la función Compatibilidad con uso compartido de archivos SMB1.0/CIFS a un estado activo.