Rezumat
ESET Customer Advisory 2017-0010
15 mai 2017
Severitate: Critică
Vineri, 12 mai 2017, au fost raportate la nivel mondial atacuri masive ale ransomware-ului Win32/WannaCryptor, care au afectat diverse instituții, inclusiv spitale, provocând întreruperea serviciilor furnizate. De remarcat, acest atac a fost primul malware răspândit masiv care a exploatat vulnerabilitatea CVE-2017-0144 din SMB pentru a se răspândi pe LAN. În special, dacă un utilizator deschidea un fișier malițios care, de obicei, venea ca atașament la un e-mail, malware-ul începea să se propage către computerele nepatchate din LAN și să cripteze fișiere, adăugând extensia WNCRY.
Aviz pentru clienți
Detalii
Serverul SMBv1 din Microsoft Windows Vista SP2; Windows Server 2008 SP2 și R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold și R2; Windows RT 8.1; și Windows 10 Gold, 1511 și 1607; și Windows Server 2016 permite atacatorilor de la distanță să execute cod arbitrar prin intermediul pachetelor modificate, cunoscută sub numele de "Windows SMB Remote Code Execution Vulnerability"
La 14 martie Microsoft a lansat un hotfix KB4012212 care este inclus într-o actualizare lunară de tip rollup KB4012215. Detaliile vulnerabilității au fost dezvăluite pe 16 martie 2017.
Pentru mai multe informații despre ransomware-ul WannaCryptor, vă rugăm să citiți:
- www.welivesecurity.com/2017/05/13/wanna-cryptor-ransomware-outbreak/
- support.eset.com/alert6442/
Soluție
Vă recomandăm insistent să instalați hotfixul menționat mai sus cât mai curând posibil, deoarece alte atacuri care exploatează această vulnerabilitate pot apărea în curând.
Hotfixul poate fi descărcat de la https://technet.microsoft.com/en-us/library/security/MS17-010.
Pentru link-uri de descărcare pentru sisteme de operare mai vechi și neasumate, cum ar fi Windows XP SP3, Windows Server 2003 și Windows 8, consultați https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/.
Soluțiile de securitate ESET cu versiunea actualizată a motorului de detectare sunt capabile să detecteze și să oprească acest malware. Pe sistemele vulnerabile, ESET Endpoint Security versiunea 6 și ESET Smart Security versiunea 9 și ulterioare, precum și ESET Internet Security și ESET Smart Security Premium versiunea 10 protejează sistemul de exploatarea de la distanță a vulnerabilității la nivel de rețea, utilizând modulul de protecție a rețelei.
Deoarece ESET NOD32 Antivirus și ESET Endpoint Antivirus nu conțin firewall și ESET Endpoint Security versiunea 5 nu conține modulul de protecție a rețelei, acestea nu pot oferi protecție la nivelul rețelei.
Feedback și asistență
Dacă aveți feedback sau întrebări cu privire la această problemă, vă rugăm să ne contactați folosind ESET Security Forum sau prin intermediul canalelor dvs. de client ESET local Care.
Jurnalul versiunilor
Versiunea 1.0 (15 mai 2017): Versiunea inițială a acestui document
