sábado, 13 de mayo de 2017

Qué hacer para evitar el contagio del ransomware WannaCry

A fecha de hoy casi cualquier persona habrá oído hablar de la situación vista en diferentes países respecto al ransomware llamado WannaCry (también WanaCrypt0r 2.0, WCry o WCrypt). Este malware es una mezcla de gusano y troyano que se distribuye de diferentes maneras, principalmente correos spam, publicidad engañosa y, la más mediática y escandalosa, a través de un agujero de seguridad explotado por malware de terceros (con una historia novelesca detrás digna de Tom Clancy) que afecta a todos los sistemas operativos de Microsoft desde el cambio de siglo: Windows Vista SP2, 7, 8.1, 10 y los Server 2008/2012/2016; en esta lista también se incluyen los que se encuentran sin soporte (Windows XP, 8 y Server 2003). Y aquí es donde está el meollo de la cuestión.

Antes de nada, advertir que si alguien ha visto infectado alguno de sus equipos con "WannaCry" -fácil de verificar por las ventanas amenazantes y la aparición de ficheros con la extensión .wncry-, las posibilidades de recuperar los datos son prácticamente nulas — puesto que el pago nunca es recomendable. No hay descifrado posible de los datos dado que la clave que los cifra no se guarda en el equipo de la víctima. Dicho esto, es posible que eventualmente aparezca una clave maestra o similar; no sería la primera vez.

Este artículo no va a tratar de analizar o explicar aspectos técnicos ni las circunstancias, orígenes, despistes, incompetencias o similares que han dado pie a esta situación. El objeto aquí es simplemente la prevención.
Antes de ver las recomendaciones y pasos a seguir para garantizar que los equipos no se vean víctimas obvias de este engendro no olvide leer las advertencias al final de esta entrada.


  1. Mantener Windows actualizado. Microsoft emitió una actualización de Windows a mediados de marzo de 2017 (MS17-010) para todos los sistemas operativos afectados con soporte vigente. (Posteriormente Microsoft ha publicado parches para todos los sistemas operativos sin soporte como medida excepcional para mitigar la gravedad de la dispersión del problema). Para garantizar que Windows está al día compruebe las actualizaciones de Windows mediante el panel de control del sistema.
    Con este paso deberían sobrar el resto de consejos pero, habida cuenta de la situación actual con la telemetría de Windows 10 y que en este sistema operativo no se permite descargar parches individualmente, es posible que su sistema no sólo no esté actualizado sino que no pretenda hacerlo actualmente.
  2. Evitar la intrusión desde Internet. "WannaCry" se cuela debido a una vulnerabilidad en un protocolo de red de Windows. Es posible impedir la petición de conexiones a este protocolo bloqueándolas mediante el sistema de seguridad disponible en muchos hogares y empresas -normalmente un router o dispositivo equivalente- o también el cortafuegos instalado en cada uno de los equipos con Windows.
    La modificación en el router es preferible por afectar a toda la red sin necesitar de cambios posteriores — siempre a excepción de intranets empresariales. El objeto es cerrar todos los puertos relacionados con el protocolo que explota la vulnerabilidad. Cada router tendrá su procedimiento de interfaces para conseguirlo, por lo que no es posible indicar un método genérico, así que se recomienda buscar ayuda en el manual del producto, foros, chats de soporte, etc.
    Para garantizar que nadie conecte a sus equipos a través de la vulnerabilidad descubierta debe bloquear el tráfico entrante y saliente con relación a Internet (WAN) -tanto en TCP como UDP- de los puertos 135, 136, 137, 138, 139 y 445.
  3. Deshabilitar la vulnerabilidad. El protocolo de Windows vulnerable en esta situación se llama SMBv1. Obsoleto, lento e ineficiente, está fuera de uso pero se encuentra activado de forma predeterminada en todos los sistemas Windows.
    Existen dos alternativas relativamente sencillas para deshabilitar esta versión de SMB, siendo la primera más simple que la segunda:
    • Tras abrir una ventana de consola con permisos elevados / administrativos (1) hay que copiar la siguiente línea tal cual y pulsar enter/intro: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "SMB1" /t REG_DWORD /d 0 /f
    • Tras abrir una ventana de PowerShell 2.0 con permisos elevados / administrativos hay que pegar la siguiente línea tal cual y pulsar enter/intro: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
    Es importante recordar que es necesario reiniciar Windows para que el cambio se aplique en ambos casos.
  4. Desinstalar la vulnerabilidad. Existe otra posibilidad para administradores de redes que necesitan un control preciso y más agresivo sobre esta situación: el desinstalado completo de SMBv1.
    Para ello hay dos opciones, una muy sencilla y otra automatizable.
    • La sencilla no requiere más que abrir el "Panel de Control" de Windows, pulsar en "Programas y características" y, en la ventana que aparecerá, seleccionar en el lado izquierdo donde pone "Activar o desactivar las características de Windows". En la ventana siguiente debe desmarcar la casilla de la línea "Compatibilidad con el protocolo para compartir archivos SMB 1.0/CIFS y el protocolo de explorador del equipo". Después de pulsar Aceptar se le solicitará reiniciar el sistema, tras lo cual ya estará desinstalado.
    • La opción automatizable requiere abrir una ventana de PowerShell 2.0 con permisos elevados / administrativos, pegar la siguiente línea tal cual y pulsar enter/intro:
      • En ediciones Server de Windows: Remove-WindowsFeature FS-SMB1
      • En ediciones comunes de Windows: Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
    De nuevo, recuerde que es necesario reiniciar Windows para que el cambio se vea aplicado.
  5. Comprobar la versión de SMB en uso. Como último paso, tras un deshabilitado -o ante la duda- es posible comprobar la versión en uso de SMB en las conexiones al sistema operativo actual. En este caso es necesaria una ventana de PowerShell 2.0 con permisos elevados / administrativos.
    Hay que escribir dos comandos seguidos, con un lapso mínimo de tiempo entre ellos, es decir, muy pocos segundos, pulsando enter/intro tras cada uno de ellos:  dir \\localhost\c y gsmbc (el primero es una petición de conexión local y el segundo es la comprobación de la conexión). Después del último comando aparecerán varias líneas informativas en las que debe ubicarse la columna "Dialect". El número o números bajo esta columna indicarán la versión en uso de SMB. Siempre que estos sean superiores a 1 significará que la puerta principal de entrada para este ransomware no se está utilizando y está cerrada o no existe.
Finalmente, recordad que tanto antivirus como cualquier medida o sistema de detección de intrusiones deben estar actualizados y correctamente configurados pero, principalmente, los usuarios de los sistemas deben ser conscientes de que ellos son la última puerta de cualquier control de seguridad: abrir por sistema enlaces de correos o ficheros adjuntos de remitente desconocido / procedencia dudosa echa por tierra cualquier medida o planificación previas.

______
(1) La forma rápida de mostrar una consola con permisos elevados es: Inicio > escribir "cmd" > poner el cursor del ratón sobre el elemento con el icono de consola [C:\_] > pulsar CTRL + MAYS y, sin soltarlas, hacer click sobre el ítem.
(2. ADVERTENCIAS) Tenga presentes las siguientes indicaciones finales:
  • Los consejos mostrados no impiden el funcionamiento del malware "WannaCry", sólo la introducción en su ordenador o red de ordenadores conectados a Internet por la puerta de entrada más común vista hasta la fecha.
  • Dada la situación de sospechar que su entorno corporativo aún contiene aplicaciones o herramientas que necesiten de SMBv1 es posible consultar esta lista -recopilada por un empleado de Microsoft- que probablemente no esté completa pero es suficientemente orientativa. Existe otra algo más comentada -incluyendo consejos de diagnóstico- que complementa a la anterior.
  • A finales de julio de 2017 Microsoft informó que no solucionará la vulnerabilidad descubierta (SMBLoris) por un investigador de seguridad que permitía bloquear servidores con cualquier versión del protocolo SMB con un script simple y dispositivos de baja potencia. Debido a esto se recomienda bloquear cualquier conexión hacia Internet relacionada con SMB.
  • Si se da el caso de tener uno o varios equipos infectados, no reinicie o apague el ordenador: actualmente existen desarrolladas dos utilidades de recuperación para descifrar los ficheros en sistemas víctimas de Wannacry y su funcionamiento depende de la presencia de la clave maestra en la memoria RAM de ese equipo. Se trata de WannaKey y de wanawiki — ambas funcionan en todos los sistemas excepto Windows 8, 8.1, 10 y sus equivalentes en server.

No hay comentarios:

Publicar un comentario