APLN, Agencia de Prensa Lima Norte
Lima Norte, Home
01:21 pm  25/05/2017
 

El mundo en alerta por posibilidad de nuevo ciberataque

Como parte del seguimiento continuo realizado por el equipo de respuesta ante incidentes de seguridad de ETEK – ETEK CSIRT, les informamos que se confirmó la aparición de una nueva versión del Ransomware asociado con MS17-010 (WanaCrypt0r), que no tiene kill-switch (botón de emergencia).

 

RECOMENDACIONES DE SEGURIDAD

A la fecha, los mecanismos conocidos para mantenerse alejado de esta amenaza son:

» Aplicar parches de seguridad de Microsoft
» Desactivar la característica SMB del sistema operativo:

Los siguientes comandos de PowerShell pueden ser de utilidad:

 

  • Para deshabilitar SMBv1, ejecute el siguiente cmdlet:
  • Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force
  • Para deshabilitar SMBv2 y SMBv3, ejecute el siguiente cmdlet:
  • Set-ItemProperty-Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2-tipo DWORD-valor 0 – Force
  • Para remover SMB ejecute el siguiente cmdlet:
    Remove-WindowsFeature -name FS-SMB1
  • Para desactivar el cliente SMB:
    Disable-WindowsOptionalFeature -Online – FeatureName SMBProtocol

Los siguientes Scripts pueden ser de utilidad para validar la presencia de la vulnerabilidad en el protocolo SMB la cual es explotada por el malware:

https://nmap.org/nsedoc/scripts/smb-double-pulsar-backdoor.html

https://github.com/RiskSense-Ops/MS17-010/blob/master/scanners/smb_ms17_010.py

 

Información adicional:

https://support.microsoft.com/es-es/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012.

 

Definir reglas a nivel de antivirus/endpoint que bloqueen la creación de archivos con extensiones .wcry, .wnry, .wncry, .wcrypt, .wry

Bloquear conexiones a redes Tor a nivel de Firewall perimetral

Crear las siguientes firmas de IPS en modo bloqueo:

  1. 1:41978 Microsoft Windows SMB remote execution attempt
  2. 1:41984 Microsoft Windows SMBv1 identical MID and FID type confusion attempt

Identificar reglas de firewall que habiliten el Puerto 445/tcp no controladas (tráfico any-any). Monitorear aquellas reglas con acceso controlado (no any-any)

Realizar un escaneo de vulnerabilidades para detectar la vulnerabilidad MS17-010 “Eternal Blue”

Es importante recordar que Microsoft público un nuevo boletín donde indica que decidió liberar parches para sistemas operativos no soportados como Windows XP, Windows 8 y Windows Server 2003.  Adjuntamos link donde se encuentran disponibles los parches para su actualización.

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

 

Catálogo de Parches:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Ayuda

Si requiere información adicional no dude en contactar al CSIRT de ETEK International al correo: cert@etek.com.co.

 

— Pedro Romero

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *

  • 翻譯 . 翻訳します . Translate

  • Reforma Electoral
  • Agencia de Prensa Lima Norte
    Agencia de Prensa Lima Norte
    Director: José Fuertes Ortega
    Registro ISSN: 2076-9768
      + 001 9496063650 Gratis
    limanorte28@gmail.com
    prensa@limanorte.com
    Editor General: (001) 949 606 3650
    Edición California: (001) 949 661 1789
    Edición Porto Alegre: (0055) 513 407 0979
  • Pasado milenario

  • www.Lima28.com

  • Titulares


  • Para la Agenda

    Festival Internacional de Títeres en Lima Norte

    » 31 de mayo al 3 de junio » El V Sheati Títere Internacional organizado por la por la Asociación Cultural Teatro Intipacha y la Universidad de Ciencias y Humanidades (UCH). Leer Más

    Nosotros los Indios: Tradiciones, Resistencia y Lucha Indígena Campesina

    24 de mayo » El Programa Democracia y Transformación Global y el Centro Bartolomé de Las Casas de Cusco harán un homenaje al Leer Más

    La CII convoca a jóvenes profesionales a participar en el Programa CREA TU FUTURO

    Hasta el 30 de junio » La Corporación Interamericana de Inversiones (CII), convoca a jóvenes profesionales que deseen participar en la primera edición de su Programa CREA TU FUTURO. Leer Más

    II Festival de Bandas Sinfónicas

    17 al 19 de mayo » El evento contará con la participación del reconocido maestro holandés Jacob De Haan, uno de los compositores más famosos Leer Más

    Contralor General dialogará el viernes 19 de mayo con vecinos de Lima Norte

    19 de Mayo » En Audiencia Pública recibirá denuncias sobre presuntos casos de corrupción en Carabayllo, Comas, San Martín de Porres y Los Olivos Leer Más


  • Carabayllo: Primer Distrito del Perú

    Carabayllo: Punchauca, Huacoy, Huarangal, Caballero, Chocas, Santa Isabel, Tungasuca, Lucyana, Villa Corpac, Apavic, Santo Domingo, Raúl Porras Barrenechea, La Flor, El Vallecito, Villa Esperanza, El Progreso, Las Malvinas, El Establo
  • Señorío de Lima Norte