ESET te explica cómo verificar si estás protegido contra WannaCry
16/05/2017 - 21:17:58
Argentina.- ESET, compa��a l�der en detecci�n proactiva de amenazas, pone a disposici�n una herramienta que verifica si tu PC est� parcheada contra la vulnerabilidad que explota WannaCryptor. Este ransomware que est� atacando a miles de computadoras de todo el mundo, se vale de un exploit que se aprovecha de una vulnerabilidad en Windows; y si bien el parche para la misma est� disponible desde marzo, no todos lo han instalado.
EternalBlue es el nombre del exploit que le permite a WannaCryptor autoreplicarse y propagarse r�pidamente por la red infectada. Este exploit pertenece a la lista de archivos filtrados de la NSA por el grupo Shadow Brokers, y ya se hab�a tratado de subastar el a�o pasado. Sin embargo, cambi� de opini�n ante la poca perspectiva de ganancia, y decidi� vender las herramientas de la NSA en forma individual.
El 14 de marzo, Microsoft lanz� el bolet�n de seguridad MS17-010 que correg�a vulnerabilidades cr�ticas en el protocolo SMB. En ese entonces, no era evidente que el parche estaba relacionado de alguna manera con las herramientas de la NSA; reci�n se supo un mes despu�s, el 14 de abril, cuando Shadow Brokers revel� lo que hab�a robado.
El per�odo entre que se public� la actualizaci�n y se hizo p�blico el exploit dio lugar a especulaciones, pero la situaci�n era esta: la vulnerabilidad explotada por EternalBlue ten�a una correcci�n disponible en Windows Update, mientras que el exploit en s� mismo tambi�n estaba p�blico. As�, comenz� la carrera entre parchear y explotar, y no fue casual que EternalBlue se usara de manera creciente a partir de ese momento.
El 12 mayo, EternalBlue se convirti� en un componente importante del incidente de infecci�n masiva. Los cibercriminales ten�an todos los elementos en sus manos: el ransomware, WannaCryptor, que estaba activo desde principios de abril, y el exploit EternalBlue.
�A pesar del panorama planteado, tanto los usuarios hogare�os como las empresas podr�an haber evadido el ataque de este ransomware con caracter�sticas de gusano inform�tico. Primero, dos meses antes del ataque masivo ya estaba disponible el parche contra la vulnerabilidad que explota EternalBlue. Si bien no est� relacionado a las rutinas de cifrado del ransomware, bloquea el da�o que un equipo pueda sufrir a causa de otro equipo de la misma red que se haya infectado. Adem�s, la protecci�n proactiva instalada en el equipo, como una funcionalidad de exploit blocker o una soluci�n antimalware actualizada, podr�a haber bloqueado la infecci�n y detener el ataque en casos en que el malware hubiese logrado infiltrarse en la red�, comenta Camilo Gutierrez, Jefe de Laboratorio de ESET Latinoam�rica.
�Finalmente, alg�n grado de control sobre los datos que entran y salen de los equipos de una red podr�a haber sido de utilidad. Muchas compa��as decidieron apagar sus computadoras y enviar a los empleados a sus casas, por miedo a que se vieran comprometidas. Sin embargo, si hubiesen logrado aislar los equipos de su red e implementar funcionalidades de detecci�n, esa medida extrema (y contraproducente a los objetivos de una empresa) podr�a haber sido evitada�, concluyen desde ESET Latinoam�rica.
En la noche del viernes sali� la noticia del �kill switch� que pod�a poner fin a la propagaci�n del ransomware. @MalwareTech descubri� que el malware hac�a una petici�n HTTP que deb�a fallar antes de comenzar su rutina de cifrado. Dado que el dominio no estaba registrado, todas las peticiones fallaban y permit�an al ransomware seguir su tarea maliciosa; sin embargo, tras analizar el c�digo en busca de este dominio, el investigador brit�nico pudo comprarlo por 10,69 d�lares y redirigi� las solicitudes a servidores que enviaban una respuesta. As�, se detuvo la propagaci�n de la primera variante de esta amenaza.
Pero no tardaron en aparecer otras variantes. Primero, aparecieron nuevas versiones que evitaban usar ese dominio sobrescribiendo los datos binarios de la primera versi�n, usando herramientas como HEXEdit. Luego, se publicaron tambi�n versiones sin el kill switch.
Hasta ahora, las ganancias de este ataque est�n apenas por encima de los 50 mil d�lares, pero ese monto no es nada comparado con el da�o causado por la infecci�n masiva. Nuevamente, se hizo evidente que la explotaci�n de vulnerabilidades (no necesariamente 0-days) podr�a tener un impacto enorme en la operativa de una compa��a.
Para comprobar si una computadora est� protegida, ESET desarroll� un simple script que revisa los archivos de actualizaci�n en el sistema y busca aquellos correspondientes al parche de EternalBlue. Si no los encuentra, indicar� que el equipo es vulnerable; si los encuentra, informar� que el sistema est� parcheado.
