Incidentes: WannaCry, Vectores de ataque y formas de mitigación.

Durante la semana del 8 de Mayo del 2017, se empezó a notar cierto trafico extraño en la red global.
Una gran cantidad de sistemas empezaron a verse afectados por un virus llamado WannaCry.

Este virus, o mas formalmente, gusano, hacé uso de una vulnerabilidad reconocida por Microsoft en su boletín de seguridad, y que se identifica con la referencia MS17-010. Esta vulnerabilidad es lo que se conoce como un RCE, o Remote Code Execution, es decir una vulnerabilidad que permite tomar control de las maquinas afectadas de forma remota y sin tener acceso previo al sistema.

Los sistemas afectados son:

  • Windows XP
  • Windows 2003
  • Windows Vista
  • Windows 7
  • Windows 8
  • Windows 2008
  • Windows 2008 R2

 

Esto afecta a Windows en sus versiones de 32 y 64 bits, también en las versiones Server. De momento esta vulnerabilidad no ha sido asociada a Windows 10.

Mitigación

Esta vulnerabilidad hace uso de un bug en la versión 1 de SMB (Server Message Block), que es la funcionalidad de Windows que permite compartir archivos, directorios e impresoras entre sistemas Windows y cualquier otro que hable el protocolo.

Cabe anotar que la versión 1 de SMB fue reemplaza por la versión 2 hace un tiempo atrás, por lo tanto no hay razones reales para seguir usando la versión 1 ( a menos que en su casa u oficina tengan equipos con versiones muy antiguas de Windows, como XP o Server 2003 ), por lo que la primera forma de evitar esta vulnerabilidad de raíz, y ser afectados por WannaCry, es quitar el soporte del sistema para SMBv1.

Esto lo podemos hacer fácilmente siguiendo los pasos a continuación.

Lo primero que debemos hacer es click en la búsqueda de Windows.

appwiz.cpl
Como abrir appwiz.cpl en sistemas Windows

En esta, digitamos appwiz.cpl, que nos lleva de forma directa a la siguiente pantalla

Removiendo soporte SMB v1 para evitar propagación de Wannacry

Damos click, en Activar o desactivar las características de Windows


Como podemos ver, la opción de SMBv1 esta habilitada, si es así debemos proceder con el siguiente paso, si ya esta inhabilitada, no debe hacer nada mas, cierra la ventana pues no es vulnerable al ataque.

En caso de estar habilitada, debemos inhabilitarla. Para ello, hacemos click para quitar el chulito.

Ahora le damos guardar cambios

Y Windows nos pedirá reiniciar el equipo, es mejor hacerlo para estar seguros de que los cambios están aplicados.

inhabilitando SMB v1
Pantalla final de cambios finalizados al inhabilitar SMB v1

 

Con esto nuestro equipo debe quedar protegido contra este gusano.

Powershell

Me han preguntado si es necesario hacerlo en modo gráfico, la respuesta es no, podemos hacerlo via PowerShell, pero cada versión de Windows tiene su comando especifico.

  • Windows 7 / Windows Vista / 2008 Server / 2008 Server R2

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

  • Windows 8.1 / Windows 10

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

  • Windows 8 / 2012 server

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Búsqueda y explotación

Ahora, veamos un asciinema de como encontrar y explotar esta vulnerabilidad dentro de nuestra red, Para ello usaremos Kali Linux y Metasploit.

La maquina a atacar sera una maquina Windows 7 Ultimate 64 bits, que he instalado desde cero, solo para esta prueba.

Como pudimos observar en el cast, encontrar y explotar esta vulnerabilidad es algo ‘trivial’, por ello lo mejor es actualizar todos los sistemas Windows que estén en nuestra red, en caso de no ser posible por las aplicaciones legacy, debemos inhabilitar el protocolo SMBv1, o utilizar el firewall de Windows, que también bloquea estos ataques, ya que el filtrar el trafico, no es posible explotar esta vulnerabilidad.

Otra forma de explotar esta vulnerabilidad es encontrar un sistema que sea vulnerable, aprovechar los recursos compartidos del sistema para distribuir el payload en la red usando Veil Catapult, y bueno, el resto queda a la imaginación del lector 🙂

Saludos 🙂

Deja tu comentario

%d bloggers like this: