Notificaciones más recientes
Jun
28
Ataque Ransomware Peyta
Enviado por Adolfo Doliwa on 28 June 2017 04:02 PM

El nuevo ataque tipo Ransomware, utilizando el virtus Peyta en este caso y bajo las siguientes hipótesis:

  • El código dañino se replica aprovechando ETERNALBLUE y DOUBLEPULSAR, al igual que sucedía con WannaCry.

  • El código dañino aprovecha dos nuevas vulnerabilidades de Microsoft, con códigos CVE-2017-8543 y CVE-2017-8464.

  • Adicionalmente, el código incorpora capacidades de replicación a través de phishing, en concreto con un correo electrónico con asunto “New Mail”.

En el departamento de seguridad de ADW se tienen y tenían identificadas y cubiertas las vulnerabilidades que utiliza Peyta, tanto a nivel de protección de perímetro de red a través de nuestros IDS e IPS, como a través de nuestros sistemas antispam y antivirus para correo electrónico SPAMTADOR.

 

Si NO tiene contratados nuestros sistemas de protección, ni a nivel de proxy, ni a nivel perimetral ni a nivel de correo electrónico, recomendamos:

 

  • Aplicar del máximo nivel de parcheado en entornos Windows (desde S2 Grupo CERT se emitió una nota informativa este mismo mes alertando de la criticidad de dichos parches).

  • Bloquear las comunicaciones entre su organización y terceros en los puertos 138, 139 y 445 (tanto TCP como UDP) y teniendo en cuenta medios de acceso como las VPN site-to-site o de acceso remoto, o herramientas de administración remota como Teamviewer, Logmein, etc.

  • Bloquear las comunicaciones locales (dentro de la red corporativa) en los puertos anteriormente expuestos, prestando especial atención al bloqueo del tráfico hacia estos puertos y hacia los servidores donde resida la información de la organización.

  • Deshabilitar las macros en documentos de Microsoft Office.

  • Realizar una copia de seguridad extraordinaria de la información relevante y mantenerla dicha copia aislada de la red corporativa.

  • Apagar de los equipos de usuario si no van a ser utilizados y no está seguro del estado de dichos equipos (actualizaciones, software instalado, etc)

  • Desplegar reglas extraordinarias de detección y/o bloqueo en los sistemas de seguridad corporativos de los que disponga. Si no dispone de ningún sistema de seguridad, debe considerar seriamente su contratación.

 

Referencias técnicas:

https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/4667-ccn-cert-av-04-17- identificado-ataque-de-ransomware-contra-varias-multinacionales-con-sede-en- espana.html

https://technet.microsoft.com/en-us/library/security/4025685.aspx

 

 

 

 


Leer más »



May
13
Ataque Ransomware WCRY
Enviado por Adolfo Doliwa on 13 May 2017 05:27 AM

El ataque de Ransomware WCRY o WannaCry que ha afectado a numerosas organizaciones a lo largo del mundo, aparentemente utiliza una vulnerabilidad de Microsoft: la vulnerabilidad MS17-010 "Eternalblue" asociada con las filtraciones de exploits realizadas recientemente por el grupo "Shadow Brokers". De hecho, las pruebas de ataques con WanaCrypt0r 2.0/WannaCry que hemos realizado a nivel interno, hacen saltar los filtros del exploit MS17-010.


En del departamento de seguridad de ADW.es hemos identificado que ya teníamos cubierta dicha vulnerabilidad a nivel de defensa de perímetro a través de una serie de filtros que estaban deteniendo intentos de explotar esta y otra vulnerabilidades del sistema operativo Windows y que son - entre otras - las indicadas a continuación.


No obstante, por favor, recuerde que aunque nosotros protejamos nuestra red, Ud. es en última instancia responsable de realizar copias de seguridad (o contratar este servicio), mantener su/s equipo/s protegidos, y actualizar y parchear tanto el sistema operativo como las aplicaciones que tenga instalad@s.

 

 CVE-2017-0143  SMB: Server MID Type Confusion Vulnerability
 CVE-2017-0144  SMB: Remote Code Execution Vulnerability (EternalBlue)
 CVE-2017-0145  SMB: Server SMBv1 Buffer Overflow Vulnerability
 CVE-2017-0146  SMB: Remote Code Execution Vulnerabilities (EternalChampion)
 SMB: Remote Code Execution Vulnerability (EternalBlue)
 CVE-2017-0147  SMB: Remote Code Execution Vulnerability (EternalBlue)
 SMB: NT_TRANSACT_RENAME Information Disclosure Vulnerability (EternalSynergy)
   SMB: Null Session SetUp
   SMB: Suspicious SMB Fragmentation
   SMB: DoublePulsar Backdoor
   SMB: Malicious SMB Probe/Attack
   TLS: Suspicious SSL Certificate (DGA)

 

En el departamento de seguridad de ADW.es - seguimos trabajando y analizando este caso, pero también todos los demás casos y riesgos como parte de nuestra labor diaria.

 

Muchas gracias.

 

 

 


Leer más »



Feb
8
Vulnerabilidad de Inyección de Contenido en WordPress
Enviado por Adolfo Doliwa on 08 February 2017 02:57 PM

Faclitamos dos enlaces de Sucury sobre la última vulnerabilidad de WordPress que ha provocado miles de defacements a nivel mundial:

 

https://blog.sucuri.net/espanol/2017/02/vulnerabilidad-de-inyeccion-de-contenido-en-wordpress.html

y

https://blog.sucuri.net/espanol/2017/02/vulnerabilidad-del-rest-api-en-wordpress-usado-para-defacement.html

 

Si utiliza WordPress, de nuevo insistimos en la necesidad de que mantenga su WORDPRESS SECURIZADO y ACTUALIZADO, así como todos los plugins que utiliza o contrate a un profesional que pueda hacer ese trabajo por Ud. Es más: si puede prescindir de WordPress, muchisimo mejor.


Leer más »



Feb
2
Caídas del día 2 de febrero de 2017
Enviado por Adolfo Doliwa on 02 February 2017 11:34 PM

A lo largo de la proxima semana contactaremos con todos los clientes afectados para informarles sobre las causas y medidas adoptadas.

 

Muchas gracias por su comprensión.


Leer más »