Publicado em Deixe um comentário

Vulnerabilidade no serviço SAMBA

Muitos ainda não superaram o problema do Wannacry e o exploit do serviço SMB e hoje aparecem mais problemas no mesmo serviço, desta vez nas máquinas Linux.

Apesar de à primeira vista não parecer que seja um problema grave para a maioria dos utilizadores, na realidade é.

A maioria dos utilizadores usa o Windows mas existe uma infinidade de sistemas que utilizam este serviço. Sejam eles gratuitos ou proprietários.

O serviço pode existir num universo grande de sistemas que tem a possibilidade de partilhar ficheiros, tais como Televisões, Routers, Discos Rígidos de rede, computadores com o serviço instalado, impressoras etc.

Neste caso aconselho a instalar o mais rapidamente possível os patches de segurança nos seus sistemas ou pelo menos acompanhar os fabricantes que estão expostos.

Verifique se o seu sistema possui este serviço instalado, contacte-nos se tiver duvidas. Nós ajudamos a identificar o sistema, software que corrige a vulnerabilidade e fornecemos apoio na instalação do mesmo caso necessite. 

Contacte-nos o serviço é gratuito para os nossos clientes. 

Não fique nas mãos dos criminosos.

 

Informação sobre a vulnerabilidade pode ser encontrada na ligação em baixo:

https://lists.samba.org/archive/samba-announce/2017/000406.html

 

Publicado em Deixe um comentário

Como Mitigar o impacto do Malware WannaCry

[alert type=”danger”]

Atenção estes passos nao impedem a infeção inicial pois essa é causada pela abertura de um email malicioso. O que tenta ajudar é evitar a movimentação lateral (infeção de outros sistemas na mesma rede).

A única forma eficiente de evitar ser infectado é ter em dia o seu sistema, antivirus e ter cuidado a abrir emails que desconhece.

As acções  descritas neste artigo podem não ser suficientes para impedir a propagação do virus, tudo depende da informação disponível no momento da escrita do artigo. Tentarei manter actualizado o artigo dentro do possível.

[/alert]

O malware WannaCry propaga-se utilizando uma vulnerabilidade no serviço de SMB.

Uma forma eficiente de mitigar a sua propagação na rede é aplicar todos os patches de segurança.

Também inspeciona todas as sessões RDP existentes no sistema e cifra a informação remota a que o utilizador tem acesso. 

Outra forma e desligar os serviços que ele utiliza para se propagar na sua infra-estrutra.

O serviço SMB esta dividido em duas partes o cliente e o servidor.

Ambos estão presentes no windows apesar da componente servidor poder estar ou não activa.

Caso nao seja possível podemos desligar o SMBv1 presente nos sistemas das seguintes formas:

Componente Servidor:

Windows 8 and Windows Server 2012

Abrir uma janela de Powershell e escrever o seguinte comando em modo administrador

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008

Abrir uma janela de Powershell e escrever o seguinte comando em modo administrador

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

Componente Cliente:

Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012

Abrir uma janela de Linha de comandos (DOS) e escrever em modo administrador os seguintes commandos:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Utilizando O GUI para remover o cliente:

How to gracefully remove SMB v1 in Windows 8.1, Windows 10, Windows 2012 R2, and Windows Server 2016

Server Manager - Dashboard method

Nos Windows mais antigos:

Add-Remove Programs client method

Caso necessite de ajuda para desactivar estas funcionalidades contate-nos que estamos disponíveis para ajuda-lo.

Ligações Úteis técnicas:

The worm that spreads WanaCrypt0r

https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/?platform=hootsuite

Publicado em Deixe um comentário

Ataque Informático em grande escala?

1TB de espaço na nuvem

Hoje apareceram nos meios de comunicação várias noticias sobre um ataque informático à escala global relacionado com Ransomware…

Não percebi bem a razão de tanto empolamento destas notícias pois isto é o dia a dia da informática.

Impedir que estes ficheiros maliciosos cheguem aos utilizadores menos conhecedores e sejam executados por eles é o objectivo de qualquer departamento de informática.

À primeira vista não me parece ser uma coisa pudesse dar origem a tão grande alarido.

Só depois de investigar um pouco é que percebi que há algo mais…

Ao passo que o normal Ransomware tem um vetor de ataque normalmente por email e necessita de ser executado e auto destrói-se cifrando a maquina onde se executou e automaticamente sendo contido a essa maquina.

Neste ataque aparentemente o malware utiliza alguma técnica não divulgada para se propagar na infraestrutura causando um problema maior e de difícil contenção.

Pelo que li utiliza uma vulnerabilidade que foi corrigida pela microsoft em Março e divulgada em larga escala em Abril pelo grupo de nome ShadowBrokers.

A vulnerabilidade é a MS17-010.

A utilização deste exploit é que veio dar mais visibilidade a este ataque.

Mais uma vez as estatísticas não enganam, dizem que o tempo médio de passagem de um exploit dia zero á sua inclusão num malware é por norma 2 a 3 meses… 🙁

As empresas deveriam ter em consideração este tempo para o seu Ciclo de Patch Management.

Mais uma vez não se compreende como passados 2 meses de terem solução para este problema há ainda empresas que se deixam afectar por este tipo de incidentes.

Se as máquinas que estão na rede não podem ser actualizadas o mais rápido possível então as empresas devem implementar outras soluções que dificultem a propagação destes virus, isolando as maquinas noutras redes e deixando apenas os serviços necessários disponíveis criando assim o máximo de isolamento possível e uma segurança por camadas.

Hoje em dia a utilização de topologias planas nas infra-estrutura é uma dádiva a qualquer atacante.

Mais informação:

https://www.publico.pt/2017/05/12/tecnologia/noticia/ataque-informatico-internacional-afecta-empresas-e-hospitais-1771939

[alert type=”success”]

A única forma de eficiente de mitigar um ataque deste tipo é implementar políticas de backup e ter os sistemas operativos em dia.

[/alert]

Publicado em Deixe um comentário

Vulnerabilidade Critica nos produtos da Intel

centro de dados

INTEL-SA-00075 – CVE-2017-5689

Ontem a intel divulgou uma vulnerabilidade que afecta os seus chipsets desde 2007.

Esta vulnerabilidade permite elevação de privilégios e como os serviços vulneráveis são utilizados para gestão remota, colocam os nossos servidores em perigo.

A vulnerabilidade encontra-se nos equipamentos que utilizam as seguintes tecnológias da intel:

Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM), and Intel® Small Business Technology versions firmware versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5, and 11.6

O boletim de segurança da intel pode ser consultado aqui:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr

Esta vulnerabilidade nao existe nos produtos normais de computadores pessoais. Se bem que ha alguns sites que fazem referência a tecnologia Intel vPro o que pode afectar muitos portáteis e computadores pessoais…

Por exemplo aqui temos uma lista de computadores que estão confirmados pela lenovo como vulneráveis.

ThinkPad S1 Yoga (vPro) Affected 9.5.61.3012 Target availability 6/17/2017 5/2/2017
ThinkPad S1 Yoga 12 Affected 10.0.55.3000 Target availability 6/5/2017 5/2/2017
ThinkPad S430 Affected 8.1.71.3608 Target availability 6/17/2017 5/2/2017

Pesquise a lista inteira aqui:

https://support.lenovo.com/de/en/product_security/len-14963