Parches y soluciones de Windows para vulnerabilidad SMB tipo Ransomware

Los informes indican que el hacker o grupo de hackers detrás de la campaña de WannaCry está obteniendo acceso a los servidores corporativos mediante la explotación de una vulnerabilidad crítica de Windows SMB.

Microsoft publicó una actualización de seguridad para la vulnerabilidad MS17-010 el 14 de marzo de 2017. Además, Microsoft lanzó parches para los sistemas operativos Windows XP, Windows 8 y Windows Server 2003 el 13 de mayo de 2017.

Según fuentes abiertas, un vector posible de la infección puede ser a través del phishing.

Solución

Pasos recomendados para la prevención

Aplique el parche de Microsoft para la vulnerabilidad SMB MS17-010 fechada el 14 de marzo de 2017.
Habilite los filtros de spam fuertes para evitar que los correos electrónicos de phishing lleguen a los usuarios finales y autentique el correo electrónico entrante utilizando tecnologías como Sender Policy Framework (SPF), Informes y Conformidad de Autenticación de Mensajes de Dominio (DMARC) y DomainKeys Identified Mail (DKIM) para evitar spoofing de correo electrónico .
Analizar todos los correos electrónicos entrantes y salientes para detectar amenazas y filtrar archivos ejecutables de llegar a los usuarios finales.
Asegúrese de que las soluciones antivirus y antimalware estén configuradas para realizar automáticamente análisis periódicos.
Administrar el uso de cuentas privilegiadas. Aplicar el principio del privilegio mínimo. Ningún usuario debe tener acceso administrativo a menos que sea absolutamente necesario. Aquellos con una necesidad de cuentas de administrador sólo deben usarlos cuando sea necesario.
Configure los controles de acceso, incluidos los permisos de archivos, directorios y compartición de red, teniendo en cuenta los privilegios mínimos. Si un usuario sólo necesita leer archivos específicos, no debería tener acceso de escritura a esos archivos, directorios o recursos compartidos.
Deshabilite los scripts de macros de archivos de Microsoft Office transmitidos por correo electrónico. Considere la posibilidad de utilizar el software de Office Viewer para abrir archivos de Microsoft Office transmitidos por correo electrónico en lugar de aplicaciones completas de Office.
Desarrollar, instituir y practicar programas de educación de empleados para identificar fraudes, enlaces maliciosos e intentos de ingeniería social.

Recomendaciones para la protección de la red

Aplique el parche (MS17-010). Si el parche no puede aplicarse, considere lo siguiente:

Desactivación de SMBv1 y bloquear  todas las versiones de SMB en la red bloqueando el puerto TCP 445 con los protocolos relacionados en los puertos UDP 137-138 y TCP 139, para todos los dispositivos.

Nota: deshabilitar o bloquear SMB puede crear problemas obstruyendo el acceso a archivos, datos o dispositivos compartidos. Los beneficios de la mitigación deben sopesarse frente a posibles interrupciones para los usuarios.

Parches para las Disitintas versiones de Microsoft Windows

 

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.