Recomendaciones de seguridad
A la fecha, los mecanismos conocidos para mantenerse alejado de esta amenaza son:
- Aplicar parches de seguridad de Microsoft
- Desactivar la característica SMB del sistema operativo:
Los siguientes comando de PowerShell pueden ser de utilidad:
Para deshabilitar SMBv1, ejecute el siguiente cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Para deshabilitar SMBv2 y SMBv3, ejecute el siguiente cmdlet:
Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2-tipo DWORD-valor 0 - Force
Para remover SMB ejecute el siguiente cmdlet:
Remove-WindowsFeature -name FS-SMB1
Para desactivar el cliente SMB:
Disable-WindowsOptionalFeature -Online - FeatureName SMBProtocol
Los siguientes Scripts pueden ser de utilidad para validar la presencia de la vulnerabilidad en el protocolo SMB la cual es explotada por el malware:
- https://nmap.org/nsedoc/scripts/smb-double-pulsar-backdoor.html
- https://github.com/RiskSense-Ops/MS17-010/blob/master/scanners/smb_ms17_010.py
Información adicional:
- https://support.microsoft.com/es-es/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012.
- Definir reglas a nivel de antivirus/endpoint que bloqueen la creación de archivos con extensiones .wcry, .wnry, .wncry, .wcrypt, .wry
- Bloquear conexiones a redes Tor a nivel de Firewall perimetral
- Crear las siguientes firmas de IPS en modo bloqueo:
b. 1:41984 Microsoft Windows SMBv1 identical MID and FID type confusion attempt
- Identificar reglas de firewall que habiliten el Puerto 445/tcp no controladas (tráfico any-any). Monitorear aquellas reglas con acceso controlado (no any-any)
- Realizar un escaneo de vulnerabilidades para detectar la vulnerabilidad MS17-010 “Eternal Blue”
- https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Catálogo de Parches:
- http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
No hay comentarios:
Publicar un comentario
Participe y comente este artículo. Gracias