A fecha de hoy casi cualquier persona habrá oído hablar de la situación vista en diferentes países respecto al ransomware llamado WannaCry
(también WanaCrypt0r 2.0, WCry o WCrypt). Este malware es una mezcla de
gusano y troyano que se distribuye de diferentes maneras,
principalmente correos spam, publicidad engañosa y, la más mediática y escandalosa, a través de un
agujero de seguridad explotado por malware de terceros (con una historia novelesca detrás digna de Tom Clancy) que afecta a todos los sistemas operativos de Microsoft desde el cambio de siglo: Windows Vista SP2, 7, 8.1, 10 y los Server 2008/2012/2016; en esta lista también se incluyen los que se encuentran sin soporte (Windows XP, 8 y Server 2003). Y aquí es donde está el meollo de la cuestión.
Antes
de nada, advertir que si alguien ha visto infectado alguno de sus
equipos con "WannaCry" -fácil de verificar por las ventanas amenazantes y la aparición de ficheros
con la extensión .wncry-, las posibilidades de recuperar los datos son
prácticamente nulas — puesto que el pago nunca es recomendable. No hay
descifrado posible de los datos dado que la clave que los cifra no se
guarda en el equipo de la víctima. Dicho esto, es posible que
eventualmente aparezca una clave maestra o similar; no sería la primera
vez.
Este
artículo no va a tratar de analizar o explicar aspectos técnicos ni las
circunstancias, orígenes, despistes, incompetencias o similares que han
dado pie a esta situación. El objeto aquí es simplemente la prevención.
Antes de ver las recomendaciones y pasos a seguir para garantizar que los equipos no se vean víctimas obvias de este engendro no olvide leer las advertencias al final de esta entrada.
Antes de ver las recomendaciones y pasos a seguir para garantizar que los equipos no se vean víctimas obvias de este engendro no olvide leer las advertencias al final de esta entrada.
- Mantener Windows actualizado. Microsoft emitió una actualización de Windows a mediados de marzo de 2017 (MS17-010)
para todos los sistemas operativos afectados con soporte vigente. (Posteriormente Microsoft ha publicado parches para todos los sistemas operativos sin soporte como medida excepcional para mitigar la gravedad de la dispersión del problema). Para
garantizar que Windows está al día compruebe las actualizaciones de
Windows mediante el panel de control del sistema.
Con este paso deberían sobrar el resto de consejos pero, habida cuenta de la situación actual con la telemetría de Windows 10 y que en este sistema operativo no se permite descargar parches individualmente, es posible que su sistema no sólo no esté actualizado sino que no pretenda hacerlo actualmente. - Evitar la intrusión desde Internet. "WannaCry" se
cuela debido a una vulnerabilidad en un protocolo de red de Windows. Es
posible impedir la petición de conexiones a este protocolo bloqueándolas
mediante el sistema de seguridad disponible en muchos hogares y empresas -normalmente un
router o dispositivo equivalente- o también el cortafuegos instalado en cada uno de los equipos con Windows.
La modificación en el router es preferible por afectar a toda la red sin necesitar de cambios posteriores — siempre a excepción de intranets empresariales. El objeto es cerrar todos los puertos relacionados con el protocolo que explota la vulnerabilidad. Cada router tendrá su procedimiento de interfaces para conseguirlo, por lo que no es posible indicar un método genérico, así que se recomienda buscar ayuda en el manual del producto, foros, chats de soporte, etc.
Para garantizar que nadie conecte a sus equipos a través de la vulnerabilidad descubierta debe bloquear el tráfico entrante y saliente con relación a Internet (WAN) -tanto en TCP como UDP- de los puertos 135, 136, 137, 138, 139 y 445. - Deshabilitar la vulnerabilidad. El protocolo de Windows vulnerable en esta situación se llama SMBv1. Obsoleto, lento e ineficiente, está fuera de uso pero se encuentra activado de forma predeterminada en todos los sistemas Windows.
Existen dos alternativas relativamente sencillas para deshabilitar esta versión de SMB, siendo la primera más simple que la segunda:- Tras abrir una ventana de consola con permisos elevados / administrativos (1) hay que copiar la siguiente línea tal cual y pulsar enter/intro: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "SMB1" /t REG_DWORD /d 0 /f
- Tras abrir una ventana de PowerShell 2.0 con permisos elevados / administrativos hay que pegar la siguiente línea tal cual y pulsar enter/intro: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
- Desinstalar la vulnerabilidad. Existe otra posibilidad
para administradores de redes que necesitan un control preciso y más
agresivo sobre esta situación: el desinstalado completo de SMBv1.
Para ello hay dos opciones, una muy sencilla y otra automatizable.- La sencilla no requiere más que abrir el "Panel de Control" de Windows, pulsar en "Programas y características" y, en la ventana que aparecerá, seleccionar en el lado izquierdo donde pone "Activar o desactivar las características de Windows". En la ventana siguiente debe desmarcar la casilla de la línea "Compatibilidad con el protocolo para compartir archivos SMB 1.0/CIFS y el protocolo de explorador del equipo". Después de pulsar Aceptar se le solicitará reiniciar el sistema, tras lo cual ya estará desinstalado.
- La opción automatizable requiere abrir una ventana de PowerShell 2.0 con permisos elevados / administrativos, pegar las siguientes líneas tal cual y pulsar enter/intro:
- Primero: Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
- En ediciones Server de Windows: Remove-WindowsFeature FS-SMB1
- En ediciones comunes de Windows: Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
- Comprobar la versión de SMB en uso. Como último paso,
tras un deshabilitado -o ante la duda- es posible comprobar la versión
en uso de SMB en las conexiones al sistema operativo actual. En este caso
es necesaria una ventana de PowerShell 2.0 con permisos elevados /
administrativos.
Los dos últimos comandos deben introducirse seguidos, es decir, con un lapso mínimo de tiempo entre ellos -pocos segundos-. Igualmente, pulsando enter/intro tras cada uno de ellos:- Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
- dir \\localhost\c
- gsmbc
Después del último comando aparecerán varias líneas informativas en las que debe ubicarse la columna "Dialect". El número o números bajo esta columna indicarán la versión en uso de SMB. Siempre que estos sean superiores a 1 significará que la puerta principal de entrada para este ransomware no se está utilizando y está cerrada o no existe.
Finalmente,
recordad que tanto antivirus como cualquier medida o sistema de
detección de intrusiones deben estar actualizados y correctamente
configurados pero, principalmente, los usuarios de los sistemas deben ser conscientes
de que ellos son la última puerta de cualquier control de seguridad:
abrir enlaces de correos o ficheros adjuntos de remitente
desconocido / procedencia dudosa y de manera sistemática echa por tierra cualquier medida o
planificación previas.
______
(1) La forma rápida de mostrar una consola con permisos elevados es: Inicio > escribir "cmd" > poner el cursor del ratón sobre el elemento con el icono de consola [C:\_] > pulsar CTRL + MAYS y, sin soltarlas, hacer click sobre el ítem.
(2. ADVERTENCIAS) Tenga presentes las siguientes indicaciones finales:
- Los consejos mostrados no impiden el funcionamiento del malware "WannaCry", sólo la introducción en su ordenador o red de ordenadores conectados a Internet por la puerta de entrada más común vista hasta la fecha.
- Dada la situación de sospechar que su entorno corporativo aún contiene aplicaciones o herramientas que necesiten de SMBv1 es posible consultar esta lista -recopilada por un empleado de Microsoft- que probablemente no esté completa pero es suficientemente orientativa. Existe otra algo más comentada -incluyendo consejos de diagnóstico- que complementa a la anterior.
- A finales de julio de 2017 Microsoft informó que no solucionará la vulnerabilidad descubierta (SMBLoris) por un investigador de seguridad que permitía bloquear servidores con cualquier versión del protocolo SMB con un script simple y dispositivos de baja potencia. Debido a esto se recomienda bloquear cualquier conexión hacia Internet relacionada con SMB.
- Si se da el caso de tener uno o varios equipos infectados, no reinicie o apague el ordenador: actualmente existen desarrolladas dos utilidades de recuperación para descifrar los ficheros en sistemas víctimas de Wannacry y su funcionamiento depende de la presencia de la clave maestra en la memoria RAM de ese equipo. Se trata de WannaKey y de wanawiki — ambas funcionan en todos los sistemas excepto Windows 8, 8.1, 10 y sus equivalentes en server.
No hay comentarios:
Publicar un comentario