jueves, 18 de mayo de 2017

[Cybertruco]Detección de máquinas vulnerables al ransomware WannaCrypt con Nmap


Aunque a estas alturas todo el mundo ha escuchado hablar de WannaCrypt / WannaCry y debería haber parcheado la vulnerabilidad en SMB (MS17-010) es posible que en ciertos entornos no tengamos del todo claro si todas, absolutamente todas las máquinas, lo están. Para comprobar este extremo vamos a ver un script NSE para Nmap que nos detectará rapidamente si tenemos alguna máquina en nuestra red que se encuentre aún en riesgo.

Empezaremos de nuevo recalcando la necesidad, me atrevería a decir que obligación para cualquier usuario personal de Windows de tener siempre activadas las actualizaciones automáticas. En el caso de entornos empresariales pues se depende de los departamentos de IT aunque posiblemente a estas alturas de la película pocas empresas, de las que aún no lo habían hecho, quedarán sin haber aplicado este parche.
Pues bien, vamos a ver un script NSE que nos permitirá a través de la magnífica utilidad Nmapdescubrir en nuestra red que máquinas no han sido aún parcheadas y que por tanto siguen siendo vulnerables. El script en sí trata de conectarse a $IPC, realiza una transacción sobre FID 0 y comprueba si el error STATUS_INSUFF_SERVER_RESOURCES se encuentra en la respuesta para determinar si el sistema ha sido parcheado o no para la vulnerabilidad de SMB (CVE2017-010).
El propio script en caso que la máquina no fuera vulnerable mostraría por pantalla la siguiente información
Host script results:smb-vuln-ms17-010: Could not connect to 'IPC$'
Host script results:
smb-vuln-ms17-010:
VULNERABLE:
Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
State: VULNERABLE
IDs: CVE:CVE-2017-0143
Risk factor: HIGH
A critical remote code execution vulnerability exists in Microsoft SMBv1 servers (ms17-010).

En caso contrario, que la máquina siguiese siendo vulnerable mostraría:
Para ejecutar este script, lo descargamos desde el siguiente link de GitHub , lo guardamos en la carpeta de scripts de nuestro Nmap y lo ejecutamos con el comando siguiente
nmap -sC -p445 --open --max-hostgroup 3 --script smb-vuln-ms17-010.nse X.X.X.X/X
Recordar no obstante, que tanto el famoso kill-switch como esta solución serían aplicables a ciertas versiones de este ransomware especificamente y que ya se han detectado variantes corregidas para evitar el “descuido” del kill-switch y que posiblemente aparezcan otras que utilicen otras vulnerabilidades para distribuirse tanto de este como de otros ransomware.
Recomendar de nuevo el seguimiento de la regla 3-2-1 para estar a salvo de esta lacra que es el ransomware y para evitar en todo caso pagar a los cibercriminales, que ya han recibido casi 300 pagos en bitcoins…. (wallet 1wallet 2wallet 3).

No hay comentarios:

Publicar un comentario