APLN, Agencia de Prensa Lima Norte
Lima Norte, Home
11:42 am  21/07/2017
 

El mundo en alerta por posibilidad de nuevo ciberataque

Como parte del seguimiento continuo realizado por el equipo de respuesta ante incidentes de seguridad de ETEK – ETEK CSIRT, les informamos que se confirmó la aparición de una nueva versión del Ransomware asociado con MS17-010 (WanaCrypt0r), que no tiene kill-switch (botón de emergencia).

 

RECOMENDACIONES DE SEGURIDAD

A la fecha, los mecanismos conocidos para mantenerse alejado de esta amenaza son:

» Aplicar parches de seguridad de Microsoft
» Desactivar la característica SMB del sistema operativo:

Los siguientes comandos de PowerShell pueden ser de utilidad:

 

  • Para deshabilitar SMBv1, ejecute el siguiente cmdlet:
  • Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force
  • Para deshabilitar SMBv2 y SMBv3, ejecute el siguiente cmdlet:
  • Set-ItemProperty-Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2-tipo DWORD-valor 0 – Force
  • Para remover SMB ejecute el siguiente cmdlet:
    Remove-WindowsFeature -name FS-SMB1
  • Para desactivar el cliente SMB:
    Disable-WindowsOptionalFeature -Online – FeatureName SMBProtocol

Los siguientes Scripts pueden ser de utilidad para validar la presencia de la vulnerabilidad en el protocolo SMB la cual es explotada por el malware:

https://nmap.org/nsedoc/scripts/smb-double-pulsar-backdoor.html

https://github.com/RiskSense-Ops/MS17-010/blob/master/scanners/smb_ms17_010.py

 

Información adicional:

https://support.microsoft.com/es-es/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012.

 

Definir reglas a nivel de antivirus/endpoint que bloqueen la creación de archivos con extensiones .wcry, .wnry, .wncry, .wcrypt, .wry

Bloquear conexiones a redes Tor a nivel de Firewall perimetral

Crear las siguientes firmas de IPS en modo bloqueo:

  1. 1:41978 Microsoft Windows SMB remote execution attempt
  2. 1:41984 Microsoft Windows SMBv1 identical MID and FID type confusion attempt

Identificar reglas de firewall que habiliten el Puerto 445/tcp no controladas (tráfico any-any). Monitorear aquellas reglas con acceso controlado (no any-any)

Realizar un escaneo de vulnerabilidades para detectar la vulnerabilidad MS17-010 “Eternal Blue”

Es importante recordar que Microsoft público un nuevo boletín donde indica que decidió liberar parches para sistemas operativos no soportados como Windows XP, Windows 8 y Windows Server 2003.  Adjuntamos link donde se encuentran disponibles los parches para su actualización.

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

 

Catálogo de Parches:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Ayuda

Si requiere información adicional no dude en contactar al CSIRT de ETEK International al correo: cert@etek.com.co.

 

— Pedro Romero

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *

  • Transmisión en VIVO desde la Feria Internacional del Libro / FIL 2017


  • 翻譯 . 翻訳します . Translate

  • Agencia de Prensa Lima Norte
    Agencia de Prensa Lima Norte
    Director: José Fuertes Ortega
    Registro ISSN: 2076-9768
      + 001 9496063650 Gratis
    limanorte28@gmail.com
    prensa@limanorte.com
    Editor General: (001) 949 606 3650
    Edición California: (001) 949 661 1789
    Edición Porto Alegre: (0055) 513 407 0979
  • Titulares

  • Pasado milenario

  • Reforma Electoral

  • Para la Agenda

    130 colectivos de artesanos participarán en la 11° Edición de la Feria Ruraq Maki: Hecho a Mano

    » 20 al 30 de julio » Exposición-venta en la torre Kuélap del Ministerio de Cultura, en el horario de 10 am. a 8 pm. El Ministerio de Cultura informa que se desarrollará Leer Más

    Los Olivos: Exposición de Libros de Literatura Infantil en 3D

    » 17 al 21 de Julio » Por lo general estamos acostumbrados a leer libros con más o menos textos o imágenes. Pero en los últimos años se han elaborado y diseñado Leer Más

    Trece regiones dialogarán sobre proyectos educativos regionales y educación rural

    » Este 10 y 11 de julio se realizará taller interregional en Ayacucho Para intercambiar ideas sobre la vigencia y el nivel de implementación de los proyectos educativos regionales con miras a Leer Más

    ECI: Los Científicos Peruanos en el exterior, retornan al Perú para compartir sus conocimientos

    » Lima, 30 de julio – 1 de agosto del 2017 » Los Científicos Peruanos del mundo, retornan al Perú para compartir sus conocimientos con las nuevas generaciones. Inscripción sin costo. Leer Más

    Presentación del libro “Los Olivos” en la FIL 2017

    El 04 de agosto, el libro “Los Olivos, historia de un distrito emprendedor de Lima Norte” del historiador Santiago Tácunan, será presentado en la Feria Internacional del Libro (FIL) 2017. Leer Más


  • Pasado Milenario

    Señorío de Lima Norte