logo

ICOT – Ataque WannaCry

Este viernes saltaron las alarmas por un ciberataque a escala global causado por el virus denominado WannaCry. Seguro que lo habréis oído por las noticias, que indicaban que una de las principales afectadas fue Telefónica España.

Bajo el punto de vista de la comunidad técnica, que desde ICOT compartimos, todo ello ha sido más mediático que técnico. WannaCry no deja de ser un virus más del tipo ransomware (secuestro de datos) en que se calcula, a fecha de hoy que su afectación global ha sido de 200.000 equipos, muy pocos comparados con los 5 millones de CryptoWall o 11 millones de Locky.

¿Qué hace diferente este virus de los demás? Que se han utilizado los exploits (métodos de ataque a vulnerabilidades del sistema con la forma de explotarlas) que el grupo de hackers Shadow Brokers robó de la NSA e hizo público, abriendo la veda a los Malefactor para que las puedan utilizar. Así ha ocurrido con WannaCry. Sin embargo, no fue la única vulnerabilidad publicada, hay más, y aquí es donde se deben dedicar los esfuerzos

Nombre de código Solución
EternalBlue MS17-010
EmeraldThread MS10-061
EternalChampion CVE-2017-0146 CVE-2017-0147
“ErraticGopher” Addressed prior to the release of Windows Vista
EsikmoRoll MS14-068
EternalRomance MS17-010
EducatedScholar MS09-050
EternalSynergy MS17-010
EclipsedWing MS08-067

 

Lo que ha pasado es que, aunque Microsoft ya corrigió y publicó las soluciones a estas vulnerabilidades, la mayoría de empresas no han hecho los deberes de aplicarlas a sus infraestructuras. Ya sea por falta de tiempo, por falta de comprobación de compatibilidades con aplicaciones existentes, por desconocimiento,  …

Si hacéis los deberes de mantener actualizados los sistemas con las actualizaciones que publica Microsoft cada 2º martes de mes, ya estáis protegidos sobre esta vulnerabilidad

 

En el caso de WannaCry ha explotado la vulnerabilidad EternalBlue de los sistemas Microsoft Windows que afectan al protocolo SMB v1. Este protocolo se utiliza para conectar los sistemas de archivos de un equipo a otro por la red, compartir los archivos. Esta primera versión tiene varios años, unos 30 !!!! Ya le toca jubilarse. Así lo recomendó Microsoft en un artículo el mes de septiembre de 2016:

https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/ Indicando que era un protocolo inseguro.

La preocupación es de cómo ha pasado el ataque, que no consideramos demasiado normal:

  • A¿tacar un viernes? ¿Dejando todo el fin de semana para recuperar los sistemas?
  • ¿Dejar un interruptor para cerrar el virus tan a la vista en el código? La compra del dominio que le paraba por el momento.
  • Utilizar el virus por un secuestro de datos más mediático al enseñar rápidamente una pantalla.
  • No guardar esta información para robar información, no se nota y es más lucrativo.
  • Los encargados de sistema se han apresurado a aplicar el parche que afecta a esta vulnerabilidad y han cerrado la puerta

Seguro que habrá consecuencias que pueden ser mucho más graves. EternalBlue es el primero de la lista, no se trata de cerrar esta vulnerabilidad sino de cerrar TODAS las publicadas.

Desde ICOT hemos trabajado para ir desactivando este protocolo SMBv1 en los nuevos sistemas, pero hay muchos dispositivos heredados que todavía lo utilizan. Es el caso de impresoras que escanean en unidades de red y dispositivos NAS.

Llegados a estas alturas, ya no se puede alargar más el sufrimiento y hipotecar la seguridad de la empresa por una impresora o un dispositivos NAS anticuados.

Un sistema informático es tan seguro como su punto más débil. No hipotequemos todo el sistema por una impresora o un NAS.

También es momento de asentar los pies y establecer, si no lo tienes hecho, las políticas de seguridad. Hoy día te protege mucho más una buena política de actualizaciones, cortafuegos, botnets, GeoIP, FORMACIÓN Y CONCIENCIACIÓN LOS USUARIOS, … que un anti-virus. Y sí, lo digo así mismo, para que un anti-virus de firmas NO puede detener un ataque de estas características, se necesitan sistemas más avanzados, donde la inteligencia artificial y tiene mucho que decir, que trabajen conjuntamente: actualización de sistemas operativos, aplicaciones, firmwares de dispositivos, APTS, auditorías de seguridad, monitorización, ….

¿Qué hacemos ahora?

Las acciones que recomendamos para asegurar el sistema informático sobre estas vulnerabilidades, además de aplicar el sentido común, son:

  • Deshabilitar el protocolo SMB v1, inutilizando el método de ataque.
  • Actualizar los sistemas operativos con las últimas actualizaciones publicadas por el fabricante. Y aquí no queremos decir sólo Microsoft Windows, sino también Apple, firmwares de dispositivos NAS, …
  • Concienciar a los usuarios que no abran correos electrónicos extraños y que informen rápidamente de cualquier sospecha.
  • Tener las copias de seguridad al día. Y por copia de seguridad no nos referimos a las instantáneas (snapshots) de Windows o equivalentes, sino a tener los datos en una segunda ubicación y, a ser posible, fuera de línea. Recuerde la premisa 3-2-1. 3 copias de seguridad, 2 ubicaciones diferentes, 1 externa.
  • Tener la red monitorizada para detectar puntos calientes en cuanto se produzcan.
  • Realizar auditorías de seguridad frecuentes, en busca de aplicaciones que no deberían ser, puertos abiertos que deberían estar cerrados, falta de actualizaciones en equipos, …

 

Deshabilitar el protocolo SMB v1 según sistema operativo:

Microsoft Windows Server 2012 R2 y Windows Server 2016

  • Deshabilitar la característica Compatibilidad con el protocolo para compartir archivos SMBv1.0 / CIFS desde añadir o eliminar características
    O bien, por Powershell:
    Remove-WindowsFeature -Name SMB
  • Microsoft Windows 8.1, Windows 10, por PowerShell:
    Disable-WindowsOptionalFeature -online -FeatureName SMB1Protocol 
  • Microsoft Windows 8 y Windows Server 2012, ejecutar el comando de PowerShell:
    Siete-SmbServerConfiguration -EnableSMB1Protocol $ false
  • Microsoft Windows 7, Windows Vista, Windows Server 2008 y Windows Server 2008 R2, ejecutar los pedidos de PowerShell:
    Siete-ItemProperty -Path “HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters” SMB1 -Type DWORD -Value 0 -Force

En todos casos, es necesario reiniciar el sistema una vez aplicada la modificación! Más información detallada en:

https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows -Sirve-2008, -Windows-7, -Windows-server-2008-r2, -Windows-8, -and-windows-server-2012


En entornos corporativos con Windows 7 se puede hacer una distribución masiva por GPO ejecutando un script que bloquee el protocolo:
sc.exe config lanmanworkstation depende = bowser / mrxsmb20 / nsi
sc.exe config mrxsmb10 start = disabled

En qué puede ayudar ICOT?

No hace falta decir que estamos a vuestra disposición para lo que necesiteis, pero queremos recordaros que tenemos a vuestra disposición diferentes contratos para asegurar el buen funcionamiento de los sistemas para poder dormir tranquilos:

  • el contrato de mantenimiento de CPD, donde se delega el mantenimiento de los servidores, teniendo el sistema monitorizado por ICOT. Con él se reparan las incidencias antes de que se puedan producir o, cuando se han producido fruto de la operativa habitual, incluyendo, como no, las actualizaciones de los sistemas operativos, aplicaciones y firmwares de los mismos.
  • el contrato de gestión de ciberseguridad 24/7, donde se realizan comprobaciones de vulnerabilidades continuas en los sistemas, ya sean internos o externos. Se llevan a cabo las actuaciones para solucionar las vulnerabilidades encontradas.
  • Servicio de reten 24/7 para dar soluciones de nivel 1 y escalables a incidencias fuera de horarios laborables.
  • la bolsa de horas a petición, ya sea de sistemas o microinformática,

Para su tranquilidad, todos aquellos que disponeis de estos contratos de mantenimiento se está llevando un repaso de la infraestructura por parte de nuestros técnicos.
Para los que no dispone de estos contratos de mantenimiento, puede solicitar una actuación sobre su infraestructura para cerrar estos agujeros.

 

Comments are closed.