📄 Description (English)
Microsoft SMBv1 Remote Code Execution Vulnerability — The SMBv1 server in multiple Microsoft Windows versions allows remote attackers to execute arbitrary code via crafted packets.
🤖 AI Executive Summary
CVE-2017-0144, known as EternalBlue, is a critical remote code execution vulnerability in Microsoft's SMBv1 protocol that allows unauthenticated attackers to execute arbitrary code on target systems via specially crafted packets. This vulnerability was famously exploited by the WannaCry and NotPetya ransomware campaigns in 2017, causing billions of dollars in global damage. Despite patches being available since March 2017 (MS17-010), many organizations worldwide still have unpatched systems. The exploit is publicly available and actively weaponized, making any unpatched system an immediate high-priority target.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Apr 7, 2026 00:18
🇸🇦 Saudi Arabia Impact Assessment
هذه الثغرة تشكل خطراً بالغاً على جميع القطاعات السعودية. قطاع الطاقة (أرامكو وشركات البتروكيماويات) معرض بشكل خاص نظراً لاستخدام أنظمة Windows القديمة في بيئات التشغيل الصناعي (OT/ICS). القطاع المصرفي (المنظم من قبل ساما) والقطاع الحكومي (المنظم من قبل الهيئة الوطنية للأمن السيبراني) معرضان للخطر في حال وجود أنظمة قديمة غير محدثة. قطاع الاتصالات (STC وموبايلي وزين) وقطاع الرعاية الصحية قد يتأثران أيضاً. المملكة العربية السعودية كانت من الدول المستهدفة في هجمات WannaCry سابقاً، مما يؤكد الحاجة الملحة للتأكد من تطبيق التصحيحات وتعطيل SMBv1.
🏢 Affected Saudi Sectors
Government
Banking
Energy
Healthcare
Telecommunications
Education
Retail
Transportation
Defense
⚖️ Saudi Risk Score (AI)
9.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Apply Microsoft security update MS17-010 immediately on ALL Windows systems — this patch has been available since March 2017
2. Disable SMBv1 protocol entirely across the organization using: Set-SmbServerConfiguration -EnableSMB1Protocol $false (PowerShell) or via Group Policy
3. Block SMB traffic (TCP ports 445, 139 and UDP ports 137, 138) at the network perimeter firewall — SMB should NEVER be exposed to the internet
DETECTION:
4. Deploy IDS/IPS signatures for EternalBlue exploitation attempts (Snort SID: 41978, 42329-42332)
5. Monitor for unusual SMB traffic patterns, especially lateral movement on port 445
6. Run vulnerability scans specifically targeting MS17-010 across all network segments
7. Check for indicators of compromise associated with WannaCry, NotPetya, and EternalBlue-based malware
COMPENSATING CONTROLS:
8. For legacy systems that cannot be patched: implement strict network segmentation, isolate these systems in dedicated VLANs with no SMB connectivity
9. Enable Windows Firewall rules to restrict SMB access to only authorized management systems
10. Implement micro-segmentation to prevent lateral movement via SMB
11. Ensure endpoint detection and response (EDR) solutions are deployed and monitoring for exploitation attempts
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تطبيق تحديث الأمان MS17-010 من مايكروسوفت فوراً على جميع أنظمة Windows — هذا التصحيح متاح منذ مارس 2017
2. تعطيل بروتوكول SMBv1 بالكامل عبر المؤسسة باستخدام: Set-SmbServerConfiguration -EnableSMB1Protocol $false (PowerShell) أو عبر سياسات المجموعة
3. حظر حركة مرور SMB (منافذ TCP 445 و139 ومنافذ UDP 137 و138) على جدار الحماية المحيطي — يجب ألا يتعرض SMB للإنترنت أبداً
الكشف:
4. نشر توقيعات IDS/IPS لمحاولات استغلال EternalBlue (Snort SID: 41978, 42329-42332)
5. مراقبة أنماط حركة مرور SMB غير العادية، خاصة الحركة الجانبية على المنفذ 445
6. تشغيل فحوصات الثغرات التي تستهدف MS17-010 تحديداً عبر جميع قطاعات الشبكة
7. التحقق من مؤشرات الاختراق المرتبطة بـ WannaCry وNotPetya والبرمجيات الخبيثة المبنية على EternalBlue
الضوابط التعويضية:
8. للأنظمة القديمة التي لا يمكن تحديثها: تنفيذ تجزئة شبكية صارمة وعزل هذه الأنظمة في شبكات VLAN مخصصة بدون اتصال SMB
9. تفعيل قواعد جدار حماية Windows لتقييد وصول SMB إلى أنظمة الإدارة المصرح بها فقط
10. تنفيذ التجزئة الدقيقة لمنع الحركة الجانبية عبر SMB
11. التأكد من نشر حلول الكشف والاستجابة للنقاط الطرفية (EDR) ومراقبة محاولات الاستغلال
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2-3-1 (Patch Management)
ECC 2-2-1 (Network Security)
ECC 2-5-1 (Vulnerability Management)
ECC 2-1-1 (Asset Management)
ECC 2-6-1 (Incident Management)
🔵 SAMA CSF
SAMA CSF 3.3.3 (Patch Management)
SAMA CSF 3.3.5 (Network Security Management)
SAMA CSF 3.3.7 (Vulnerability Management)
SAMA CSF 3.1.3 (Information Asset Management)
SAMA CSF 3.4.1 (Incident Event Management)
🟡 ISO 27001:2022
A.8.8 (Management of technical vulnerabilities)
A.8.9 (Configuration management)
A.8.20 (Networks security)
A.8.21 (Security of network services)
A.8.22 (Segregation of networks)
🟣 PCI DSS v4.0
PCI DSS 6.3.3 (Install critical security patches within one month)
PCI DSS 1.3 (Network access controls between trusted and untrusted networks)
PCI DSS 11.3 (Vulnerability scanning and penetration testing)
PCI DSS 2.2.1 (System configuration standards)
🔗 References & Sources 0
No references.
📦 Affected Products / CPE 1 entries
Microsoft:SMBv1