Debidos a los problemas provocados por el RANSOMWARE WANNACRYPT, que secuestras tus archivos de tu pc, me recomendaron escanear la red en busca de posibles equipos con Windows que no tenga el parche que evitar el contagio en la red.
Para esto se requiere utilizar nmap, ya sea para su versión para Linux o Windows junto con el nse de escaneo smb-vuln-ms17-010.nse que se puede encontrar en https://github.com/cldrn/nmap-nse-scripts/tree/master/scripts.
Pasos a seguir:
Para Windows
- Descargar el siguiente link https://nmap.org/dist/nmap-7.40-setup.exe
- Instalar archivo descargado.
- Copiar script “smb-vuln-ms17-010.nse” en la siguiente carpeta:
C:\Program Files (x86)\Nmap\scripts
- Ejecutar Nmap, con las siguientes opciones:
nmap -sC -p 445 --max-hostgroup 3 --open --script smb-vuln-ms17-010.nse x.x.x.x/x
Por pantalla te entregara el resultado del escaneo, si aparece algo de la forma
Nmap scan report for 10.10.10.33
Host is up (0.00013s latency).
PORT STATE SERVICE
445/tcp open microsoft-ds
MAC Address: A0:D3:C6:64:66:D3 (Hewlett Packard)
Host script results:
| smb-vuln-ms17-010:
| VULNERABLE:
| Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
| State: VULNERABLE
| IDs: CVE:CVE-2017-0143
| Risk factor: HIGH
| A critical remote code execution vulnerability exists in Microsoft SMBv1
| servers (ms17-010).
|
| Disclosure date: 2017-03-14
| References:
| https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
| https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
|_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143
Ese equipo es vulnerable, debes actualizar los parches de Windows.
Para Linux
- Instalar o actualizar RPM de Nmap:
rpm -vhU https://nmap.org/dist/nmap-7.40-1.x86_64.rpm
- Copiar script “smb-vuln-ms17-010.nse” en la siguiente carpeta:
/usr/share/nmap/scripts/
- Ejecutar el siguiente scan:
nmap -sC -p 445 --max-hostgroup 3 --open --script smb-vuln-ms17-010.nse x.x.x.x/x
Dependiendo del tamaño de la red puede tomar entre 2 minutos a 30 minutos
No olvides dejar tu comentario, duda o sugerencia.
sábado, 8 de julio de 2017
jueves, 6 de julio de 2017
En mi dominio con samba4, los usuarios no ven el sysvol
Para uno de mis clientes debí generar un dominio con samba4,
la instalación fue rápida y sin problemas. Se podía crear los usuarios mediante
la interfaz de Windows o mediante línea de comandos.
[sysvol]
path = /var/lib/samba/sysvol
read only = No
msdfs root = Yes
nt acl support = No
directory mask = 0750
Los PC de los usuarios se unían al dominio en forma fácil y
segura. Al crear carpetas compartidas, era posible asignar los usuarios y
privilegios sin problemas.
Pero cuando se comenzó a configurar las políticas de grupo para
el dominio, están no se podían aplicar, indicando como error que no se tenía
acceso al sysvol. (carpeta compartida donde se almacenan las “group policy”).
El error solo aparecía cuando se trata de conectar al
recurso de red \\dominio\, si en vez del nombre
de dominio se usaba la ip el el nombre del contralador de dominio, el error no ocurría.
Pero las “group policy” solo usaba el nombre del dominio, lo
cual no se puede cambiar.
Al buscar solución siempre llegaba a que en el servidor
samba se debía ejecutar:
samba-tool ntacl sysvolreset
Pero esto no resolvía el problema, al analizar en mayor
detalle como se usa el sysvol, esta es una carpeta especial que usa dfs para
distribuir la información en ella, debido a esto se debe agregar el soporte de dfs y los acl de seguridad en el smb.conf, en mi caso quedo de la forma:
path = /var/lib/samba/sysvol
read only = No
msdfs root = Yes
nt acl support = No
directory mask = 0750
en la sección global debi agregar
host msdfs =
yes
Luego de eso ya pude distribuir las políticas del dominio.
No olvides dejar tu comentario, duda o sugerencia.
No olvides dejar tu comentario, duda o sugerencia.
Suscribirse a:
Entradas (Atom)