Windows: Código de parada 0x50 srv.sys causado pelo EternalBlue Exploit

A Microsoft lançou um boletim de segurança sobre o SMBv1.0. A mais grave das vulnerabilidades pode permitir a execução remota de código se um invasor enviar mensagens especialmente criadas para um servidor Microsoft Server Message Block 1.0 (SMBv1).

Você pode identificar que esse problema está ocorrendo analisando a pilha no dump de memória e encontrando estas linhas específicas:
 

ffffd001`078b0700 fffff801`71252360 nt!KiPageFault+0x12f
ffffd001`078b0890 fffff801`712522a5 srv!SrvOs2FeaToNt+0x48
ffffd001`078b08c0 fffff801`7127369b srv!SrvOs2FeaListToNt+0x125
ffffd001`078b0910 fffff801`7127c8ba srv!SrvSmbOpen2+0xc3
ffffd001`078b09b0 fffff801`7127fb2e srv!ExecuteTransaction+0x2ca
ffffd001`078b09f0 fffff801`7120d84f srv!SrvSmbTransactionSecondary+0x40b
ffffd001`078b0a90 fffff801`7120da20 srv!SrvProcessSmb+0x237
ffffd001`078b0b10 fffff801`7124cac8 srv!SrvRestartReceive+0x114
ffffd001`078b0b50 fffff800`13591306 srv!WorkerThread+0x5248
ffffd001`078b0bd0 fffff800`1317f280 nt!IopThreadStart+0x26
ffffd001`078b0c00 fffff800`131d89c6 nt!PspSystemThreadStartup+0x58
ffffd001`078b0c60 00000000`00000000 nt!KiStartSystemThread+0x16 

Sistemas afetados:
Windows Server 2008
, Windows Server 2008 R2
, Windows Server 2012
, Windows Server 2012 R2
, Windows Server 2016
, Windows 7
, Windows 8, Windows 8.1

, Windows 10
 

.

A Microsoft publicou uma postagem no blog sobre o SMB1 explicando que ele está obsoleto e não deve ser usado nas versões mais recentes do sistema operacional.

Como esse problema é causado por um exploit, é necessário executar um programa antivírus no sistema afetado.

Soluções temporárias

As seguintes soluções alternativas podem ser úteis em sua situação:

• Desativar SMBv1

  Para clientes que executam o Windows Vista e posterior

  Consulte o Artigo 2696547 da Base de Dados de Conhecimento Microsoft.

  Método alternativo para clientes que executam o Windows 8.1 ou Windows Server 2012 R2 e posterior

  Para sistemas operacionais de client:

  1. Abra o Painel de Controle, clique em Programas e, em seguida, clique em Ativar ou desativar recursos do Windows.
  2. Na janela Recursos do Windows, desmarque a caixa de seleção Suporte ao compartilhamento de arquivos SMB1.0/CIFS e clique em OK para fechar a janela.
  3. Reinicie o sistema.
      

  Para sistemas operacionais de servidor:

  1. Abra o Gerenciador do Servidor, clique no menu Gerenciar e selecione Remover funções e recursos.
  2. Na janela Recursos, desmarque a caixa de seleção Suporte ao compartilhamento de arquivos SMB1.0/CIFS e clique em OK para fechar a janela.
  3. Reinicie o sistema.
      

  Impacto da solução alternativa. O protocolo SMBv1 está desativado no sistema de destino.
  O SMBv1.0 oferece suporte para sistemas legados (Windows XP, Windows Vista, Windows 2000, Windows 2003, Windows 2003 R2.)

  Como desfazer a solução alternativa. Refaça as etapas da solução temporária e marque a caixa de seleção SMB1.0/CIFS File Sharing Support para restaurar o recurso SMB1.0/CIFS File Sharing Support para um estado ativo.