sábado, 8 de julio de 2017

Como detectar si un equipo en tu red es vulnerable al virus RANSOMWARE WANNACRYPT

Debidos a los problemas provocados por el RANSOMWARE WANNACRYPT, que secuestras tus archivos de tu pc, me recomendaron escanear la red en busca de posibles equipos con Windows que no tenga el parche que evitar el contagio en la red.

Para esto se requiere utilizar nmap, ya sea para su versión para Linux o Windows junto con el nse de escaneo smb-vuln-ms17-010.nse que se puede encontrar en https://github.com/cldrn/nmap-nse-scripts/tree/master/scripts.

Pasos a seguir:

Para Windows

- Descargar el siguiente link https://nmap.org/dist/nmap-7.40-setup.exe
- Instalar archivo descargado.
- Copiar script  “smb-vuln-ms17-010.nse” en la siguiente carpeta:
         C:\Program Files (x86)\Nmap\scripts
- Ejecutar Nmap, con las siguientes opciones:

nmap -sC -p 445 --max-hostgroup 3 --open --script smb-vuln-ms17-010.nse x.x.x.x/x


Por pantalla te entregara el resultado del escaneo, si aparece algo de la forma

Nmap scan report for 10.10.10.33
Host is up (0.00013s latency).
PORT    STATE SERVICE
445/tcp open  microsoft-ds
MAC Address: A0:D3:C6:64:66:D3 (Hewlett Packard)

Host script results:
| smb-vuln-ms17-010:
|   VULNERABLE:
|   Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
|     State: VULNERABLE
|     IDs:  CVE:CVE-2017-0143
|     Risk factor: HIGH
|       A critical remote code execution vulnerability exists in Microsoft SMBv1
|        servers (ms17-010).
|      
|     Disclosure date: 2017-03-14
|     References:
|       https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
|       https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
|_      https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143

Ese equipo es vulnerable, debes actualizar los parches de Windows.

Para Linux
- Instalar o actualizar RPM de Nmap:
  rpm -vhU https://nmap.org/dist/nmap-7.40-1.x86_64.rpm
- Copiar script  “smb-vuln-ms17-010.nse” en la siguiente carpeta:
   /usr/share/nmap/scripts/
- Ejecutar el siguiente scan:

nmap -sC -p 445 --max-hostgroup 3 --open --script smb-vuln-ms17-010.nse x.x.x.x/x

Dependiendo del tamaño de la red puede tomar entre 2 minutos a 30 minutos

No olvides dejar tu comentario, duda o sugerencia.
a la/s
Etiquetas: , , , ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)

Instalación rapida de kvm manager de oracle

 Para instalar kvm manager de oracle se deben seguir los siguientes pasos: Instalar Oracle Linux 7 configurar el fqdn en el archivo /etc/hos...