APLN, Agencia de Prensa Lima Norte
Lima Norte, Home
10:16 am  16/08/2017

El mundo en alerta por posibilidad de nuevo ciberataque

Como parte del seguimiento continuo realizado por el equipo de respuesta ante incidentes de seguridad de ETEK – ETEK CSIRT, les informamos que se confirmó la aparición de una nueva versión del Ransomware asociado con MS17-010 (WanaCrypt0r), que no tiene kill-switch (botón de emergencia).

 

RECOMENDACIONES DE SEGURIDAD

A la fecha, los mecanismos conocidos para mantenerse alejado de esta amenaza son:

» Aplicar parches de seguridad de Microsoft
» Desactivar la característica SMB del sistema operativo:

Los siguientes comandos de PowerShell pueden ser de utilidad:

 

  • Para deshabilitar SMBv1, ejecute el siguiente cmdlet:
  • Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force
  • Para deshabilitar SMBv2 y SMBv3, ejecute el siguiente cmdlet:
  • Set-ItemProperty-Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2-tipo DWORD-valor 0 – Force
  • Para remover SMB ejecute el siguiente cmdlet:
    Remove-WindowsFeature -name FS-SMB1
  • Para desactivar el cliente SMB:
    Disable-WindowsOptionalFeature -Online – FeatureName SMBProtocol

Los siguientes Scripts pueden ser de utilidad para validar la presencia de la vulnerabilidad en el protocolo SMB la cual es explotada por el malware:

https://nmap.org/nsedoc/scripts/smb-double-pulsar-backdoor.html

https://github.com/RiskSense-Ops/MS17-010/blob/master/scanners/smb_ms17_010.py

 

Información adicional:

https://support.microsoft.com/es-es/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012.

 

Definir reglas a nivel de antivirus/endpoint que bloqueen la creación de archivos con extensiones .wcry, .wnry, .wncry, .wcrypt, .wry

Bloquear conexiones a redes Tor a nivel de Firewall perimetral

Crear las siguientes firmas de IPS en modo bloqueo:

  1. 1:41978 Microsoft Windows SMB remote execution attempt
  2. 1:41984 Microsoft Windows SMBv1 identical MID and FID type confusion attempt

Identificar reglas de firewall que habiliten el Puerto 445/tcp no controladas (tráfico any-any). Monitorear aquellas reglas con acceso controlado (no any-any)

Realizar un escaneo de vulnerabilidades para detectar la vulnerabilidad MS17-010 “Eternal Blue”

Es importante recordar que Microsoft público un nuevo boletín donde indica que decidió liberar parches para sistemas operativos no soportados como Windows XP, Windows 8 y Windows Server 2003.  Adjuntamos link donde se encuentran disponibles los parches para su actualización.

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

 

Catálogo de Parches:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Ayuda

Si requiere información adicional no dude en contactar al CSIRT de ETEK International al correo: cert@etek.com.co.

 

— Pedro Romero

Deje una respuesta

  • 翻譯 . 翻訳します . Translate

  • Agencia de Prensa Lima Norte
    Agencia de Prensa Lima Norte
    Director: José Fuertes Ortega
    Registro ISSN: 2076-9768
    + 001+949+6063650 Gratis
    limanorte28@gmail.com
    prensa@limanorte.com
    Editor General: (001) 949 606 3650
    Edición California: (001) 949 661 1789
    Edición Porto Alegre: (0055) 513 407 0979
  • Titulares

  • Pasado milenario

  • Para la Agenda

    Seminario Internacional de KickBoxing

    » 16 al 20 de agosto » Seminario Internacional de KickBoxing de entrenadores y jueces, árbitros, con profesionales del WAKO Related
    Leer Más

    Feria del LIBRO VIEJO

    » Sábado 19 / Domingo 20 Agosto » Feria del LIBRO VIEJO / 11:00 am – 7:00 pm / Hall posterior de la Biblioteca Mario Vargas Llosa / CASA DE LA LITERATURA Related
    Leer Más

    Convocatoria al Premio Nacional de Cultura 2017

    » Hasta el 25 de agosto » El Ministerio de Cultura con el auspicio de Petroperú convoca a la sexta edición del Premio Nacional de Cultura (PNC)  Related
    Leer Más

    Primer Festival de Videojuegos Peruanos

    » Sábado 19 de agosto » El ingreso es gratuito previa inscripción » Podrás disfrutar de 23 videojuegos nacionales y muchos juegos de mesa Related
    Leer Más

    Puente Piedra: La huaca nos cuenta, Zona Arqueológica Tambo Inga

    » El domingo 13 de agosto a las 2:30 pm a la altura de la cuadra 3 de la Av. San Remo, Km. 29 de la carretera Panamericana Norte — El Ministerio
    Leer Más


  • Pasado Milenario

    Señorío de Lima Norte
  • Carabayllo Histórico

  • www.Lima28.com