martes, 16 de mayo de 2017

Microsoft Windows Server2016 Protection WannaCry

Microsoft dispone de varias tecnologías para combatir la ejecución de software y proteger la propagación de malware en los entornos empresariales. Además de instalar la actualización de seguridad MS17-010 para prevenir la vulnerabilidad que aprovecha este malware.

Esta recomendado deshabilitar SMBv1 como se recomienda aquí (desde el 16 de Septiembre del 2016), existen varios comandos disponibles:
  • Set-SmbServerConfiguration –AuditSmb1Access $true
  • Remove-WindowsFeature -Name FS-SMB1
  • Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
En algunos entornos se puede bloquear el tráfico SMB al puerto 445 utilizando el Firewall. Windows Defender ahora detecta Ransom: Win32/WannaCrypt desde la actualización 1.243.297.0.

En los entornos empresariales se puede desplegar Device Guard, que permite proteger los equipos con Seguridad basada en la virtualización a nivel de kernel y solo permite la ejecución de aplicaciones de confianza.

Windows Defender Advanced Threat Protection monitoriza la red detectando actividades sospechosas y resulta muy eficaz para prevenir o minimizar los efectos de malware desconocido.

Estas tecnologías y algunas otras como Control Flow Guard, o la prevención de ejecución de software mediante AppLocker y GPOs, se detallan y explican en nuestro Curso Online (Profesional) Hardening de Sistemas Windows que te permitirá aprender a securizar servidores y equipos clientes para desplegar en tu organización entornos seguros basados en Microsoft.



 
Seguridad a lo Jabalí para Todos!!

sábado, 13 de mayo de 2017

Microsoft Informa del Ransomware WannaCrypt

Microsoft informo del Ransomware WannaCrypt y su propagación ayer en el siguiente artículo publicado https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems

El día de ayer estuvo dedicado a la agresiva propagación a nivel mundial de un Ransomware que utilizaba una vulnerabilidad conocida en el protocolo SMB versión 1 de los Sistemas operativos Windows, denominada EternalBlue con CVE-2017-0145 y publicada en el boletín MS17-010 del 14 de Marzo del 2017.

Como se explica en la propia pagina de Microsoft el malware trata de contactar con un dominio, si el domino existe, entonces no infecta el equipo.

"The threat arrives as a dropper Trojan that has the following two components:
  • A component that tries to exploit the SMB EternalBlue vulnerability in other computers.
  • Ransomware known as WannaCrypt. 
  • The dropper tries to connect the following domain using the API InternetOpenUrlA(): 
  • hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
If connection is successful, the threat does not infect the system further with ransomware or try to exploit other systems to spread; it simply stops execution. However, if the connection fails, the dropper proceeds to drop the ransomware and creates a service on the system."




A pesar de la repercusión mediática del malware, especialmente en España (caso telefónica) el efecto de este malware no ha tenido una gran incidencia, tampoco en Telefónica como muy bien explica Chema Alonso en su blog El Lado del Mal.

Bernardo Quintero también publicaba en Twitter la información:
"Aquí el código del "bicho", intenta un HTTP GET a esa dirección, si falla continúa, pero sí existe abandona la rutina de infección" @bquintero



Customer Guidance for WannaCrypt attacks 
Catálogo de Microsoft Update (incluidos S.O anteriores)
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598


Seguridad a lo Jabalí para Todos!!

miércoles, 10 de mayo de 2017

Curso Fortificación de Sistemas Windows

Para aquellos que no me conocéis, yo soy Angel A. Núñez, desarrollo labores profesionales como consultor e instructor de sistemas y seguridad informática, Microsoft MVP Cloud and Datacenter Management y Microsoft Innovative Educator Experts.

Este curso online ofrece al alumno todos los conocimientos necesarios para aprender a fortificar y auditar Servidores Windows y desarrollar sistemas e infraestructuras seguras basadas en tecnologías de Microsoft.

En esta formación se mostraran aquellos elementos relevantes en los procesos de securización de equipos Windows, en servidores y clientes, incluidas las ultimas mejoras en seguridad y las nuevas características de Windows Server 2016. Todo de una forma muy práctica, utilizando diferentes laboratorios para la formación.


Dispongo de varias certificaciones profesionales de Microsoft entre las que destacan:
Microsoft Certified Azure Solutions Architect.
MCSE Cloud Platform and Infrastructure
MCSD Azure Solutions Architect
MCSA Cloud Platform, Server 2012, Server 2008, Windows 7
 
Y también en el ámbito docente:
MCT Microsoft Certified Trainer & MCE Microsoft Certified Educator.
 
Si estas interesado en aprender a fortificar una infraestructura con sistemas operativos Windows, no te puedes perder este curso.... ¡te esperamos!!

Seguridad a lo Jabalí para Todos!!

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias