Descrição
Essa vulnerabilidade permiti a execução remota de código se um invasor enviar mensagens especialmente criadas para um servidor Microsoft Server Message Block 1.0 (SMBv1). A tática mais praticada atualmente é o sequestro de dados, o invasor invade a máquina criptógrafa os dados do usuário e pede resgate. Vide image de uma máquina de um cliente que teve seus dados sequestrado
Resumo da ópera
A Microsoft já tinha detectado essa vulnerabilidade e disponibilizou uma a atualização de segurança na terça-feira, 14 de março de 2017. Se o seu computador estiver configurado, que é o padrão, para atualizar automaticamente você pode ficar despreocupado, você não corre o risco de perder os seus dados.
Essa vulnerabilidade teve uma grande repercussão nas redes corporativa porque geralmente, essas empresas têm seus próprios servidores de distribuição de atualizações; mas antes de distribuir uma atualização nas máquinas do seu parque, elas primeiro homologam essa atualização antes de distribuir, e algumas delas demora muito durante essa homologação. Essa demora para aplicar a atualização de segurança foi fundamental para o atacante ter sucesso.
Como evitar o ataque?
Se sua máquina estiver configurada para atualizar automaticamente, fique tranquilo. Se não, atualize imediatamente. Para verificar se o seu computador recebeu essa atualização de segurança, abra o Prompt de Comandos (CMD.exe) e digite: WMIC QFE | FIND "Número_do_KB"
Vide exemplo em uma máquina com o Windows 10
Se retornar em branco, sem nenhum resultado, isso é porque o KB não foi instalado em sua máquina
No Microsoft Windows 7, o KB é KB4012212 e no Windows 8, o KB é 4012213, Windows XP KB 4012598, Windows Server 2008 o KB 4012598, Server 2012r2 o KB é 4012213, esses são os KBs responsáveis pela sua segurança ;)
Patches (KBs)
Se você não aplicou a correção, abaixo disponibilizamos os Links com suas respectivas patchs de correção dessa falha:
Outra forma e desabilitar o protocolos SMB
1. Abrir o Windows PowerShell;
2. Para desabilitar o SMBv1, executar o seguinte cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
3. Para desabilitar o SMBv2 e SMBv3, executar o seguinte cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
Fui infectado e agora?
Bom, nesse caso você só tem duas opção: 1. Senta e chora, antes de formatar sua máquina e a 2. Se você tiver $$ pague o resgate do seus dados.
Nome e detalhes do log coletado no Symantec
[SID: 23875] OS Attack: Microsoft SMB MS17-010 Disclosure Attempt attack blocked. Traffic has been blocked for this application: SYSTEM
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
3. Para desabilitar o SMBv2 e SMBv3, executar o seguinte cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
- Se você quiser ativar novamente o SMBv1 é só executar o seguinte cmdlet:
- Para habilitar o SMBv2 e SMBv3 no servidor SMB, execute o seguinte cmdlet:
Fui infectado e agora?
Bom, nesse caso você só tem duas opção: 1. Senta e chora, antes de formatar sua máquina e a 2. Se você tiver $$ pague o resgate do seus dados.
Nome e detalhes do log coletado no Symantec
[SID: 23875] OS Attack: Microsoft SMB MS17-010 Disclosure Attempt attack blocked. Traffic has been blocked for this application: SYSTEM
Mais detalhes:
https://support.microsoft.com/en-us/help/2919355/windows-rt-8.1,-windows-8.1,-and-windows-server-2012-r2-update-april-2014
https://support.microsoft.com/en-us/help/4013389/title
https://technet.microsoft.com/en-us/library/security/MS17-010?f=255&MSPPError=-2147217396
Catálogo Microsoft®Update
Nenhum comentário:
Postar um comentário