fbpx
Seleccionar página

[:es]

 

Tras el torbellino mediático del jueves y viernes  aumentado tras  la caída  parcial de Telefónica y otras grandes corporaciones , muchas empresas han contribuido a ponernos   en  Recitoners a dieta  con mantenimientos y múltiples consultas   preguntando:

« como  puedo  saber si puedo infectarme con  el  ransomware ese»

o «como puedo recuperar estos ficheros».

La respuesta rápida a la primera pregunta es «actualiza Windows inmediatamente, si es que todavía no lo has hecho«.De hecho el vector de red que utiliza el ransomware WannaCry es la explotación de la vulnerabilidad en SMB (boletín MS17-010) corregida el 14 de marzo, y la respuesta mas desarrollada es este post.

La razón es obvia,  al igual que hace el famoso ETERNALBLUE liberado por ShadowBrokers ataca las máquinas que tienen el puerto 445/TCP abierto y son vulnerables son las victimas potenciales de este u otros ataques mediante powershell

Para solucionarlo,te damos 3 Opciones ordenadas  de menos a mas complejas.

OPCIÓN1: La rápida

Para saber que puertos tienes abiertos de forma rápida  con  estos dos enlaces

http://www.whatsmyip.org/port-scanner/

o aqui

https://hidemy.name/es/ports/

OPCIÓN 2: La Intermedia

Chequea los puertos abiertos de una  IP Remota usando NMAP

Descarga nmap desde aquí e instálalo

Como puedes ver en la pantalla principal  tienes 3 apartados

Objetivo:     IP o dominio  que deseamos analizar.

Perfil :         Elige  el perfil cada uno con sus comandos predefinidos que  nos evitaran buscar e introducir todos los parámetros uno a uno a mano para nmap.

Comando:  En esta linea se cargaran los  comandos de Profile o los que  modificados a mano.

En los siguientes pantallazos a   una vez eliminadas las ips nos devuelve información sobre todos los servicios, puertos tcp abiertos,S.O y detalles del dispositivo

En la pestaña de ports podemos ver los detalles de puertos y en detalles del servidor su estas

 

OPCIÓN 3:La profesional

Vamos a usar el script de nmap que el pasado domingo publico Paulino Calderon que lo puedes bajar de aqui

https://raw.githubusercontent.com/cldrn/nmap-nse-scripts/master/scripts/smb-vuln-ms17-010.nse

Este script se conecta al recurso compartido $IPC, ejecutar una transacción sobre FID y comprobar si es devuelto el error “STATUS_INSUFF_SERVER_RESOURCES” para determinar si ha sido parcheado o no contra CVE2017-010

Descargamos el script y lo  ponemos en el directorio  correspondiente

# Linux – /usr/share/nmap/scripts/ or /usr/local/share/nmap/scripts/
# OSX – /opt/local/share/nmap/scripts/
# Windows – c:\Program Files\Nmap\Scripts

y ejecutamos  sustituyendo x.x.x.x por la ip y el puerto

nmap -sC -p445 --open --max-hostgroup 3 --script smb-vuln-ms17-010.nse X.X.X.X/X

Si devuelve el mensaje 
|_smb-vuln-ms17-010: Could not connect to 'IPC$'

la maquina NO ES VULNERABLE

SI DEVUELVE
Host script results:
| smb-vuln-ms17-010: 
|   VULNERABLE:
|   Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
|     State: VULNERABLE
|     IDs:  CVE:CVE-2017-0143
|     Risk factor: HIGH
|       A critical remote code execution vulnerability exists in Microsoft SMBv1
|        servers (ms17-010).
|       
|     Disclosure date: 2017-03-14

YA PUEDES CORREGIRLO RÁPIDO

     Referencias:

     https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
     https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143
     https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Espero que os sea de ayuda
Para consultas y pedidos nos podéis localizar en nuestros teléfonos y correos habituales.


[:]