El Equipo de Preparación de Emergencia Informática de Estados Unidos (US-CERT) ha emitido una advertencia después de la Sombra Brokers grupo de hackers ha ofrecido vender lo que pretende ser un SMB de día cero explotar.
Shadow Brokers se filtró en una parte del arsenal del Grupo Ecuatión Linked-NSA, una base de datos que contiene herramientas de hacking y exploits.
El grupo de hackers conocido Shadow Brokers anunció la venta de un archivo de explotación Windows y herramientas de hacking robado del grupo de la equatión.
El grupo de hackers misterioso aparentemente ha decidido poner fin a sus intentos fallidos de vender exploits y herramientas de hacking que afirmaron haber robado del Grupo Equatión ligado a la NSA.
Mientras que el grupo afirma haber decidido retirarse, la explotación robados son todavía a la venta por el precio de 10.000 bitcoins (aproximadamente $ 8.7 millones al cambio actual).
El valioso archivo parece incluir también un exploit de día cero dirigidas a la red de protocolo de uso compartido de archivos Server Message Block (SMB).
"En respuesta a los informes públicos de una vulnerabilidad potencial Server Message Block (SMB), US-CERT está proporcionando mejores prácticas conocidas relacionadas con SMB. Este servicio es universalmente disponible para sistemas Windows, y las versiones anteriores de los protocolos SMB podría permitir a un atacante remoto obtener información sensible de los sistemas afectados ", segun el US-CERT.
Dando un vistazo a la lista publicada por el equipo Shadow Brokers es posible observar una herramienta que pretende ser un SMB de día cero exploit que va para 250 bitcoins. Los piratas informáticos describen la hazaña como la ejecución remota de código de día cero SMB orientación. El grupo está ofreciendo bajo el nombre de "SMB envuelta puerta trasera" para 50 bitcoins, pero el paquete completo incluye IIS, RDP RPC y SMB exploits para 250 bitcoins.
El EE.UU.-CERT ha informado a los usuarios y administradores a considerar la desactivación v1 SMB, y bloquean todas las versiones de SMB en la frontera de la red. SMB normalmente usa el puerto 445 (TCP / UDP), los puertos 137 y 138 (UDP), y el puerto 139 (TCP).
Los EE.UU.-CERT proporciona las siguientes recomendaciones a los usuarios y administradores
Deshabilitar SMB y v1: El bloqueo de todas las versiones de SMB en la frontera de la red bloqueando el puerto TCP 445 con protocolos relacionados en los puertos UDP 137-138 y el puerto TCP 139, para todos los dispositivos de contorno. De todos modos, es importante tener en cuenta que al desactivar o bloquear SMB puede crear problemas al obstruir el acceso a los archivos compartidos, datos o dispositivos.
"Los beneficios de la mitigación deben sopesarse frente a posibles interrupciones a los usuarios. Para obtener más información acerca de SMB, por favor revise Microsoft Recomendaciones de seguridad 2696547 y 204279.", Continúa el aviso.
"En agosto de 2016, un grupo conocido como" Shadow Brokers "hizo público un gran número de archivos, incluyendo herramientas de explotación de las antiguas y las vulnerabilidades recién expuestas. No se encontraron dispositivos Cisco ASA ser vulnerable al código publicado explotar. En respuesta, Cisco lanzó una actualización para solucionar un Cisco ASA simple código de vulnerabilidad de ejecución remota revelada recientemente Network Management Protocol (SNMP) ( CVE-2016-6366 ) ".
Fecha actualización el 2021-1-19. Fecha publicación el 2017-1-19. Categoría: Hackers. Autor: Oscar olg Mapa del sitio