[:es]Como Saber si tu pc es vulnerable frente a Ransomware[:]
[:es]
Tras el torbellino mediático del jueves y viernes aumentado tras la caída parcial de Telefónica y otras grandes corporaciones , muchas empresas han contribuido a ponernos en Recitoners a dieta con mantenimientos y múltiples consultas preguntando:
« como puedo saber si puedo infectarme con el ransomware ese»
o «como puedo recuperar estos ficheros».
La respuesta rápida a la primera pregunta es «actualiza Windows inmediatamente, si es que todavía no lo has hecho«.De hecho el vector de red que utiliza el ransomware WannaCry es la explotación de la vulnerabilidad en SMB (boletín MS17-010) corregida el 14 de marzo, y la respuesta mas desarrollada es este post.
La razón es obvia, al igual que hace el famoso ETERNALBLUE liberado por ShadowBrokers ataca las máquinas que tienen el puerto 445/TCP abierto y son vulnerables son las victimas potenciales de este u otros ataques mediante powershell
Para solucionarlo,te damos 3 Opciones ordenadas de menos a mas complejas.
OPCIÓN1: La rápida
Para saber que puertos tienes abiertos de forma rápida con estos dos enlaces
http://www.whatsmyip.org/port-scanner/
o aqui
https://hidemy.name/es/ports/
OPCIÓN 2: La Intermedia
Chequea los puertos abiertos de una IP Remota usando NMAP
Descarga nmap desde aquí e instálalo
Como puedes ver en la pantalla principal tienes 3 apartados
Objetivo: IP o dominio que deseamos analizar.
Perfil : Elige el perfil cada uno con sus comandos predefinidos que nos evitaran buscar e introducir todos los parámetros uno a uno a mano para nmap.
Comando: En esta linea se cargaran los comandos de Profile o los que modificados a mano.
En los siguientes pantallazos a una vez eliminadas las ips nos devuelve información sobre todos los servicios, puertos tcp abiertos,S.O y detalles del dispositivo
En la pestaña de ports podemos ver los detalles de puertos y en detalles del servidor su estas
OPCIÓN 3:La profesional
Vamos a usar el script de nmap que el pasado domingo publico Paulino Calderon que lo puedes bajar de aqui
https://raw.githubusercontent.com/cldrn/nmap-nse-scripts/master/scripts/smb-vuln-ms17-010.nse
Este script se conecta al recurso compartido $IPC, ejecutar una transacción sobre FID y comprobar si es devuelto el error “STATUS_INSUFF_SERVER_RESOURCES” para determinar si ha sido parcheado o no contra CVE2017-010
Descargamos el script y lo ponemos en el directorio correspondiente
# Linux – /usr/share/nmap/scripts/ or /usr/local/share/nmap/scripts/
# OSX – /opt/local/share/nmap/scripts/
# Windows – c:\Program Files\Nmap\Scripts
y ejecutamos sustituyendo x.x.x.x por la ip y el puerto
nmap -sC -p445 --open --max-hostgroup 3 --script smb-vuln-ms17-010.nse X.X.X.X/X
Si devuelve el mensaje
|_smb-vuln-ms17-010: Could not connect to 'IPC
Host script results: | smb-vuln-ms17-010: | VULNERABLE: | Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010) | State: VULNERABLE | IDs: CVE:CVE-2017-0143 | Risk factor: HIGH | A critical remote code execution vulnerability exists in Microsoft SMBv1 | servers (ms17-010). | | Disclosure date: 2017-03-14 YA PUEDES CORREGIRLO RÁPIDO Referencias: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ Espero que os sea de ayuda Para consultas y pedidos nos podéis localizar en nuestros teléfonos y correos habituales.
[:]
la maquina NO ES VULNERABLE
SI DEVUELVE
[:]