La infección por ransomware en Telefónica y en otras grandes empresas a nivel mundial que ha hecho que todos los medios se agiten, ya que han surgido numerosos mensajes en las redes sociales con imágenes del ransom y correos de distintos departamentos rogando a los usuarios que apaguen inmediatamente sus equipos (incluso audios).. La empresa de telefonía lanzo un comunicado al respecto:

Madrid, 12 de mayo de 2017.- A media mañana del día de hoy se ha detectado un incidente de ciberseguridad que ha afectado los PCs de algunos empleados de la red corporativa interna de la compañía.

De forma inmediata, se ha activado el protocolo de seguridad para este tipo de incidencias con la intención de que los ordenadores afectados funcionen con normalidad lo antes posible.

Lo que parecía haber sido un ciberataque que solo había afectado a Telefónica es en realidad es un ciberataque a nivel mundial que se aprovecha de WanaCrypt0r, el ransomware que es una nueva versión del conocido WCry/WannaCrt y que está secuestrando equipos de intranets empresariales a un ritmo asombroso.

Se ha alertado que el ataque masivo de ransomware que afecta a sistemas Windows, bloqueando el acceso a los archivos (tanto en sus discos duros como en las unidades de red a las que estén conectadas). La especial criticidad de esta campaña viene provocada por la explotación de la vulnerabilidad descrita en el boletín MS17-010 utilizando EternalBlue/DoublePulsar, que puede infectar al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados. La infección de un solo equipo puede llegar a comprometer a toda la red corporativa.

El ransomware, una variante de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando la vulnerabilidad citada en el párrafo anterior que permite la ejecución de comandos remota a través de Samba (SMB) y se distribuye al resto de máquinas Windows que haya en esa misma red.

Los sistemas afectados que disponen de actualización de seguridad son:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 y R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 y R2
  • Windows 10
  • Windows Server 2016

¿Cuál ha sido la vulnerabilidad que ha explotado el ransomware?

Si parece tremendamente curioso saber cuál ha sido la vulnerabilidad que ha explotado el ransomware y ha hecho que haya puesto a tantas empresas en jaque en un periodo tan corto de tiempo.

Lo que sustenta en suposiciones de algunos expertos basadas en lo que ha leído en las redes y lo que han contado varios compañeros y colegas, y casi todas apuntan a un RCE en MsMpEng, el conocido “crazy bad”.

MsMpEng es el servicio de Protección contra Malware que está habilitado por defecto en Windows 8, 8.1, 10, Windows Server 2012 y posteriores. Además, Microsoft Security Essentials, System Center Endpoint Protection y otros productos de seguridad de Microsoft comparten el mismo core. MsMpEng se ejecuta como NT AUTHORITY\SYSTEM sin sandboxing y es accesible remotamente sin autenticación a través de varios servicios de Windows, incluidos Exchange, IIS, etc.

MsMpEng utiliza un minifiltro para interceptar e inspeccionar toda la actividad del sistema de archivos del sistema, por lo que basta con escribir cualquier contenido en cualquier lugar del disco (por ejemplo, caché, archivos temporales de Internet, descargas (incluso descargas no completadas),etc para acceder a la funcionalidad en mpengine, su componente principal responsable de la exploración y el análisis.

Es decir, un atacante puede acceder a la funcionalidad de mpengine simplemente enviando un mensaje de correo electrónico a la víctima (sin que sea necesario incluso abrirlo), visitando enlaces en un navegador web, por mensajería instantánea, etc. Mpengine es una superficie de ataque extensa y compleja, compuesta por manejadores de docenas de formatos de archivo, packers y crypters de ejecutable, emuladores de sistemas completos e intérpretes para varias arquitecturas y lenguajes etc. Como decimos, accesible por atacantes remotos porque se trata del motor antimalware que analiza cualquier actividad en el filesystem…

¿Qué pasaría entonces si de forma remota pudiera explotarse un vulnerabilidad en MsMpEng? Pues que accederíamos a la máquina de la víctima de forma remota con privilegios de SYSTEM... y sí… la vulnerabilidad existe.

Es lo que se ha denominado como “crazy bad” y corresponde a la vulnerabilidad con CVE CVE-2017-0290. Los señores de Microsoft la han considerado tan crítica que hace un par de días publicaron un parche de emergencia en el Microsoft Security Advisory 4022344. No es para menos, tenemos por tanto una vulnerabilidad crítica que afecta a casi todas las versiones de Windows (creo que XP se salva lol!), cuyo parche ha sido publicado de recientemente y fuera de ciclo por lo que muchas empresas todavía no han parcheado los sistemas, y menos un viernes víspera de fin de semana y para algunos puente.

Parece lógico pensar que un malware, en este caso la versión 2.0 del ransomware WanaCrypt0r, que ha afectado a tantas y grandes empresas haya podido utilizar esta vulnerabilidad.

Por otro lado, el vector de infección parece ser una campaña de spam en el que se envían mensajes con el adjunto factura.js en un zip. ¿Por qué Javascript? Pues porque Windows utiliza NScript, un componente del susodicho mpengine, que se encarga de evaluar el código javascript cuando se detecta cualquier actividad en el filesystem con código en este lenguaje. De hecho probablemente no hubiese hecho falta ni ponerle la extensión .js porque MsMpEng utiliza su propio sistema de identificación de contenido y los tipos MIME y las extensiones de archivo no son relevantes para esta vulnerabilidad. Recordemos que si se compromete MsMpEng es posible ejecutar cualquier malware en un entorno “unsandboxed” y con máximos privilegios…

Más de 45.000 ataques en 74 países

La información que se está propagado mediante medios sociales indica que este ciberataque está propagándose por varios países de todo el mundo, y que está mucho más presente en Rusia o en Taiwán. España, Alemania, Japón o Turquía están también en esa lista de grandes afectados, y el ataque no respeta a nadie: lo demuestra su presencia incluso en hospitales, como ha ocurrido en el Reino Unido o en Italia.

En un tuit, Costin Raiu, el director global del equipo de investigación y análisis de Kaspersky Lab, una empresa de seguridad informática, afirma que se han registrado más de 45.000 ataques en 74 países. Hasta el momento, el ataque no ha afectado a infraestructuras críticas.

 

¿Es posible que el ransomware WanaCrypt0r que ha afectado a Telefónica y a otras grandes empresas utilice esta vulnerabilidad?

Pero como  todavía hay muchas preguntas en el aire y hasta que no se digiera más información y se analicen las muestras de malware no podemos confirmar nada.

 

Fuente;

Hackplayers.com

azulweb.net

 

Unete a nuestro canal de noticias en Telegram @Underc0denews 
Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">