lunes, 15 de mayo de 2017

Ransomware asociado con MS17-010- WanaCrypt0r

Como parte del seguimiento continuo realizado por el equipo de respuesta ante incidentes de seguridad de ETEK – ETEK CSIRT, les informamos que se confirmó la aparición de una nueva versión del Ransomware asociado con MS17-010 (WanaCrypt0r), que no tiene kill-switch (botón de emergencia).


Recomendaciones de seguridad

A la fecha, los mecanismos conocidos para mantenerse alejado de esta amenaza son:

  •  Aplicar parches de seguridad de Microsoft
  • Desactivar la característica SMB del sistema operativo:

Los siguientes comando de PowerShell pueden ser de utilidad:
Para deshabilitar SMBv1, ejecute el siguiente cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Para deshabilitar SMBv2 y SMBv3, ejecute el siguiente cmdlet:
Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2-tipo DWORD-valor 0 - Force
Para remover SMB ejecute el siguiente cmdlet:
Remove-WindowsFeature -name FS-SMB1
Para desactivar el cliente SMB:
Disable-WindowsOptionalFeature -Online - FeatureName SMBProtocol
Los siguientes Scripts pueden ser de utilidad para validar la presencia de la vulnerabilidad en el protocolo SMB la cual es explotada por el malware:
  • https://nmap.org/nsedoc/scripts/smb-double-pulsar-backdoor.html
  • https://github.com/RiskSense-Ops/MS17-010/blob/master/scanners/smb_ms17_010.py
Información adicional:
  •  https://support.microsoft.com/es-es/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012.
  •  Definir reglas a nivel de antivirus/endpoint que bloqueen la creación de archivos con extensiones .wcry, .wnry, .wncry, .wcrypt, .wry
  • Bloquear conexiones a redes Tor a nivel de Firewall perimetral
  •  Crear las siguientes firmas de IPS en modo bloqueo:
a.      1:41978 Microsoft Windows SMB remote execution attempt
b.     1:41984 Microsoft Windows SMBv1 identical MID and FID type confusion attempt
  • Identificar reglas de firewall que habiliten el Puerto 445/tcp no controladas (tráfico any-any). Monitorear aquellas reglas con acceso controlado (no any-any)
  • Realizar un escaneo de vulnerabilidades para detectar la vulnerabilidad MS17-010 “Eternal Blue”
Es importante recordar que Microsoft público un nuevo boletín donde indica que decidió liberar parches para sistemas operativos no soportados como Windows XP, Windows 8 y Windows Server 2003.  Adjuntamos link donde se encuentran disponibles los parches para su actualización.
  • https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Catálogo de Parches:
  •  http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Si requiere información adicional no dude en contactar al CSIRT de ETEK International al correo: cert@etek.com.co.


No hay comentarios:

Publicar un comentario

Participe y comente este artículo. Gracias

La tecnología para smart homes estará más cerca de los colombianos

Desde su llegada a Colombia, EZVIZ, se ha enfocado en desarrollar productos que permitan la creación de smart homes en el país. Es por esta ...