sábado, 8 de julio de 2017

Como detectar si un equipo en tu red es vulnerable al virus RANSOMWARE WANNACRYPT

Debidos a los problemas provocados por el RANSOMWARE WANNACRYPT, que secuestras tus archivos de tu pc, me recomendaron escanear la red en busca de posibles equipos con Windows que no tenga el parche que evitar el contagio en la red.

Para esto se requiere utilizar nmap, ya sea para su versión para Linux o Windows junto con el nse de escaneo smb-vuln-ms17-010.nse que se puede encontrar en https://github.com/cldrn/nmap-nse-scripts/tree/master/scripts.

Pasos a seguir:

Para Windows

- Descargar el siguiente link https://nmap.org/dist/nmap-7.40-setup.exe
- Instalar archivo descargado.
- Copiar script  “smb-vuln-ms17-010.nse” en la siguiente carpeta:
         C:\Program Files (x86)\Nmap\scripts
- Ejecutar Nmap, con las siguientes opciones:

nmap -sC -p 445 --max-hostgroup 3 --open --script smb-vuln-ms17-010.nse x.x.x.x/x


Por pantalla te entregara el resultado del escaneo, si aparece algo de la forma

Nmap scan report for 10.10.10.33
Host is up (0.00013s latency).
PORT    STATE SERVICE
445/tcp open  microsoft-ds
MAC Address: A0:D3:C6:64:66:D3 (Hewlett Packard)

Host script results:
| smb-vuln-ms17-010:
|   VULNERABLE:
|   Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
|     State: VULNERABLE
|     IDs:  CVE:CVE-2017-0143
|     Risk factor: HIGH
|       A critical remote code execution vulnerability exists in Microsoft SMBv1
|        servers (ms17-010).
|      
|     Disclosure date: 2017-03-14
|     References:
|       https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
|       https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
|_      https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143


Ese equipo es vulnerable, debes actualizar los parches de Windows.

Para Linux
- Instalar o actualizar RPM de Nmap:
  rpm -vhU https://nmap.org/dist/nmap-7.40-1.x86_64.rpm
- Copiar script  “smb-vuln-ms17-010.nse” en la siguiente carpeta:
   /usr/share/nmap/scripts/
- Ejecutar el siguiente scan:

nmap -sC -p 445 --max-hostgroup 3 --open --script smb-vuln-ms17-010.nse x.x.x.x/x

Dependiendo del tamaño de la red puede tomar entre 2 minutos a 30 minutos

No olvides dejar tu comentario, duda o sugerencia.

jueves, 6 de julio de 2017

En mi dominio con samba4, los usuarios no ven el sysvol

Para uno de mis clientes debí generar un dominio con samba4, la instalación fue rápida y sin problemas. Se podía crear los usuarios mediante la interfaz de Windows o mediante línea de comandos.
Los PC de los usuarios se unían al dominio en forma fácil y segura. Al crear carpetas compartidas, era posible asignar los usuarios y privilegios sin problemas.
Pero cuando se comenzó a configurar las políticas de grupo para el dominio, están no se podían aplicar, indicando como error que no se tenía acceso al sysvol. (carpeta compartida donde se almacenan las “group policy”).
El error solo aparecía cuando se trata de conectar al recurso de red \\dominio\, si en vez del nombre de dominio se usaba la ip el el nombre del contralador de dominio, el error no ocurría.
Pero las “group policy” solo usaba el nombre del dominio, lo cual no se puede cambiar.
Al buscar solución siempre llegaba a que en el servidor samba se debía ejecutar:

samba-tool ntacl sysvolreset

Pero esto no resolvía el problema, al analizar en mayor detalle como se usa el sysvol, esta es una carpeta especial que usa dfs para distribuir la información en ella, debido a esto se debe agregar el soporte de dfs y los acl de seguridad en el smb.conf, en mi caso quedo de la forma:

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No
        msdfs root = Yes
        nt acl support = No
        directory mask = 0750


en la sección global debi agregar 

        host msdfs = yes

Luego de eso ya pude distribuir las políticas del dominio.

No olvides dejar tu comentario, duda o sugerencia.

Instalación rapida de kvm manager de oracle

 Para instalar kvm manager de oracle se deben seguir los siguientes pasos: Instalar Oracle Linux 7 configurar el fqdn en el archivo /etc/hos...