APLN, Agencia de Prensa Lima Norte
Lima Norte, Home
08:39 pm  20/09/2017, Lima Norte, Perú

El mundo en alerta por posibilidad de nuevo ciberataque

Como parte del seguimiento continuo realizado por el equipo de respuesta ante incidentes de seguridad de ETEK – ETEK CSIRT, les informamos que se confirmó la aparición de una nueva versión del Ransomware asociado con MS17-010 (WanaCrypt0r), que no tiene kill-switch (botón de emergencia).

 

RECOMENDACIONES DE SEGURIDAD

A la fecha, los mecanismos conocidos para mantenerse alejado de esta amenaza son:

» Aplicar parches de seguridad de Microsoft
» Desactivar la característica SMB del sistema operativo:

Los siguientes comandos de PowerShell pueden ser de utilidad:

 

  • Para deshabilitar SMBv1, ejecute el siguiente cmdlet:
  • Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force
  • Para deshabilitar SMBv2 y SMBv3, ejecute el siguiente cmdlet:
  • Set-ItemProperty-Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2-tipo DWORD-valor 0 – Force
  • Para remover SMB ejecute el siguiente cmdlet:
    Remove-WindowsFeature -name FS-SMB1
  • Para desactivar el cliente SMB:
    Disable-WindowsOptionalFeature -Online – FeatureName SMBProtocol

Los siguientes Scripts pueden ser de utilidad para validar la presencia de la vulnerabilidad en el protocolo SMB la cual es explotada por el malware:

https://nmap.org/nsedoc/scripts/smb-double-pulsar-backdoor.html

https://github.com/RiskSense-Ops/MS17-010/blob/master/scanners/smb_ms17_010.py

 

Información adicional:

https://support.microsoft.com/es-es/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012.

 

Definir reglas a nivel de antivirus/endpoint que bloqueen la creación de archivos con extensiones .wcry, .wnry, .wncry, .wcrypt, .wry

Bloquear conexiones a redes Tor a nivel de Firewall perimetral

Crear las siguientes firmas de IPS en modo bloqueo:

  1. 1:41978 Microsoft Windows SMB remote execution attempt
  2. 1:41984 Microsoft Windows SMBv1 identical MID and FID type confusion attempt

Identificar reglas de firewall que habiliten el Puerto 445/tcp no controladas (tráfico any-any). Monitorear aquellas reglas con acceso controlado (no any-any)

Realizar un escaneo de vulnerabilidades para detectar la vulnerabilidad MS17-010 “Eternal Blue”

Es importante recordar que Microsoft público un nuevo boletín donde indica que decidió liberar parches para sistemas operativos no soportados como Windows XP, Windows 8 y Windows Server 2003.  Adjuntamos link donde se encuentran disponibles los parches para su actualización.

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

 

Catálogo de Parches:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Ayuda

Si requiere información adicional no dude en contactar al CSIRT de ETEK International al correo: cert@etek.com.co.

 

— Pedro Romero

Deje una respuesta

  • 翻譯 . 翻訳します . Translate

  • Agencia de Prensa Lima Norte
    Agencia de Prensa Lima Norte
    Director: José Fuertes Ortega
    Registro ISSN: 2076-9768
    + 001+949+6063650 Gratis
    limanorte28@gmail.com
    prensa@limanorte.com
    Editor General: (001) 949 606 3650
    Edición California: (001) 949 661 1789
    Edición Porto Alegre: (0055) 513 407 0979
  • Titulares

  • Pasado milenario

  • Nadine Heredia está viva
    Cuando la LEY vale para una y no para la otra
    ¡ Para mis AMIGAS todo, para mis ENEMIGAS la Ley !
  • Para la Agenda

    Ancón: Segunda Jornada Vecinal de limpieza en la Zona Arqueológica Necrópolis

    » Sábado 7 de octubre / Segunda Jornada Vecinal de limpieza, en beneficio de la Zona Arqueológica Necrópolis de Ancón. — Inspecciones inopinadas y la instalación de paneles disuasivos forman parte de los acuerdos ... Leer Más

    Curso sobre Políticas efectivas de DESARROLLO INFANTIL

    » 21 de septiembre » En este curso encontrarás herramientas que te permitan diseñar, implementar y evaluar políticas y programas de desarrollo infantil con énfasis en la calidad. ¿Qué aprenderás? — Qué es el desarrollo ... Leer Más

    “Ña Catita” en la AAA, el clásico de la comedia teatral costumbrista de Manuel Ascencio Segura

    » Desde el viernes 15 a las 8 de la noche en una corta temporada — El clásico de la comedia teatral costumbrista “Ña Catita”, del autor peruano Manuel Ascencio Segura, se ... Leer Más

    Primer Festival Diseño Fest 2017 presenta el Terno Anti corrupción

    » Domingo 24 – 9:00 am / Primer Festival Diseño Fest 2017, en el Centro de Convenciones La Moneda (Avenida Arequipa 4545 – Miraflores), INGRESO LIBRE »  El Fest – 2017 busca ... Leer Más

    AQP: Hay Festival Arequipa 2017

    » 9 al 12 de Noviembre / Hay Festival Arequipa anunció en la Residencia del Embajador Británico, Anwar Choudhury, en Lima; y en la Biblioteca Regional Mario Vargas Llosa, en Arequipa, la relación ... Leer Más


  • Pasado Milenario

    Señorío de Lima Norte
  • Carabayllo Histórico

  • www.Lima28.com