Ciberataque com o ransomware WannaCry

Descrição
Essa vulnerabilidade permiti a execução remota de código se um invasor enviar mensagens especialmente criadas para um servidor Microsoft Server Message Block 1.0 (SMBv1). A tática mais praticada atualmente é o sequestro de dados, o invasor invade a máquina criptógrafa os dados do usuário e pede resgate. Vide image de uma máquina de um cliente que teve seus dados sequestrado


Resumo da ópera
A Microsoft já tinha detectado essa vulnerabilidade e disponibilizou uma a atualização de segurança na terça-feira, 14 de março de 2017. Se o seu computador estiver configurado, que é o padrão, para atualizar automaticamente você pode ficar despreocupado, você não corre o risco de perder os seus dados.

Essa vulnerabilidade teve uma grande repercussão nas redes corporativa porque geralmente, essas empresas têm seus próprios servidores de distribuição de atualizações; mas antes de distribuir uma atualização nas máquinas do seu parque, elas primeiro homologam essa atualização antes de distribuir, e algumas delas demora muito durante essa homologação. Essa demora para aplicar a atualização de segurança foi fundamental para o atacante ter sucesso.

Como evitar o ataque?

Se sua máquina estiver configurada para atualizar automaticamente, fique tranquilo. Se não, atualize imediatamente. Para verificar se o seu computador recebeu essa atualização de segurança, abra o Prompt de Comandos (CMD.exe) e digite: WMIC QFE | FIND "Número_do_KB"

Vide exemplo em uma máquina com o Windows 10
Se retornar em branco, sem nenhum resultado, isso é porque o KB não foi instalado em sua máquina

No Microsoft  Windows 7, o KB é KB4012212 e no Windows 8, o KB é 4012213, Windows XP KB 4012598,  Windows Server 2008 o KB 4012598, Server 2012r2 o KB é 4012213, esses são os KBs responsáveis pela sua segurança ;)

Patches (KBs)
Se você não aplicou a correção, abaixo disponibilizamos os Links com suas respectivas patchs de correção dessa falha:


Outra forma e desabilitar o protocolos SMB
Para habilitar ou desabilitar os protocolos SMB em uma máquina com Windows 7, Windows Server 2008 R2, Windows Vista ou Windows Server 2008:

1. Abrir o Windows PowerShell;

2. Para desabilitar o SMBv1, executar o seguinte cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

3. Para desabilitar o SMBv2 e SMBv3, executar o seguinte cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

  • Se você quiser ativar novamente o SMBv1 é só executar o seguinte cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

  • Para habilitar o SMBv2 e SMBv3 no servidor SMB, execute o seguinte cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force


Fui infectado e agora?

Bom, nesse caso você só tem duas opção: 1. Senta e chora, antes de formatar sua máquina e a 2. Se você tiver $$ pague o resgate do seus dados.


Nome e detalhes do log coletado no Symantec
[SID: 23875] OS Attack: Microsoft SMB MS17-010 Disclosure Attempt attack blocked. Traffic has been blocked for this application: SYSTEM

Nenhum comentário:

Postar um comentário