Muy pocas personas, incluso aquellas que no pertenecen al sector tecnológico, han podido quedar indiferentes ante las noticias del sonado ciberataque a Telefónica y otras empresas del IBEX35, perpetrado por un virulento ransomware conocido como WannaCrypt que se caracteriza por cifrar los contenidos de nuestro disco duro para posteriormente solicitarnos un rescate en forma de Bitcoins para recuperarlo.
El pasado viernes 12 de mayo de 2017 se iniciaba el ataque, siendo Telefónica severamente impactada, pero siguiéndole otras organizaciones a nivel mundial.
Esta publicación pretende hacer una recopilación de los datos que se han averiguado sobre el ataque y las lecciones aprendidas que todos deberíamos tener en cuenta en materia de seguridad.
¿En qué ha consistido el ataque?
En plena crisis del pasado viernes 12, Chema Alonso, CDO de Telefónica, publicaba el siguiente tweet:
Del CCN-CERT “Ataque masivo de ransomware que afecta a un elevado número de organizaciones españolas” https://t.co/G0HRi77nZa pic.twitter.com/GE8hJGuvnQ
— Chema Alonso (@chemaalonso) 12 de mayo de 2017
Aquí se referenciaba un aviso del Centro Criptológico Nacional, adscrito al CNI; informando de ataques de ransomware a empresas utilizando una vulnerabilidad del protocolo SMBv1 -cuya función es compartir archivos por red- que fue publicada y corregida por Microsoft el 14 de marzo de 2017 en el MS17-010. Esta vulnerabilidad permitía la ejecución de código remoto, que fue utilizado por WannaCrypt para propagarse de forma tan virulenta en las intranets corporativas.
Vale, pero el SMB no suele estar expuesto a Internet, ¿cuál ha sido entonces el vector?
Puede haber sido cualquiera. La magnitud de la brecha de seguridad mencionada es tal, que en una empresa de 200.000 empleados el virus podría extenderse de forma masiva con que una única persona se infectase. Entre las especulaciones figura el uso de otra vulnerabilidad, conocida como Crazy Bad y que afecta al motor de software antivirus de Microsoft, el MsMpEng que encontramos en Windows Defender. Microsoft cerró la vulnerabilidad del Crazy Bad el pasado lunes 8 de mayo de 2017, en el MSA-4022344.
Gracias a ella, un adjunto de correo electrónico que aparentemente es inofensivo y que incluso al ejecutarlo no tiene efecto, puede inyectar código en nuestra máquina por el simple hecho de que el antivirus de Microsoft lo escanee en tiempo real. A pesar de lo grave de esta vulnerabilidad, normalmente sólo afectaría a equipos y personas aisladas, pero la combinación con la del protocolo SMBv1 la puede hacer mortífera.
Respuesta oficial de Microsoft
El Microsoft Security Response Center reaccionó con bastante celeridad al tema. Tal como se puede ver en esta publicación del mismo día 12, donde la situación es sencilla:
- Microsoft publicó y cerró la vulnerabilidad el 14 de marzo de 2017. Dos meses antes del ataque.
- Para evitar futuras infecciones basta con tener nuestro sistema operativo actualizado con los últimos parches de seguridad, donde está incluido el que nos protege del WannaCrypt.
- Las versiones de Windows fuera de soporte -Windows XP, Windows Server 2003 y Windows 8 (recordad que es su actualización gratuita, Windows 8.1, el que disfruta de soporte)- no reciben ya actualizaciones, sin embargo, bajo esta situación especial Microsoft ha publicado parches para ellas. La descarga está en la misma publicación de Microsoft.
Conclusiones
No por muchos firewalls y dispositivos de seguridad...
Las empresas normalmente centran su política de seguridad en tener un entorno bien controlado mediante distintos elementos: restricciones a usuarios, conexiones filtradas mediante proxies, IDS e IPS, antivirus, firewalls, etc... Sin embargo y como ha dejado patente esta situación, todas las medidas son inútiles si no tenemos nuestro software al día con las últimas actualizaciones de seguridad instaladas.
Establece una política sólida de actualizaciones en función de su nivel de criticidad.
Es más que comprensible que en muchas ocasiones las empresas deben gestionar adecuadamente el ciclo de vida de actualizaciones de sus sistemas, ya que si se instalan sin inspección, podrían impactar en el funcionamiento de algún aplicativo o sistema interno, ocasionando caídas inesperadas del servicio. Mi consejo aquí es tener múltiples políticas de instalación de actualizaciones en función de la categorization de las mismas. En caso de ser críticas deberían instalarse el mismo día.
Actualiza o retira software sin soporte, en especial sistemas operativos
¿Aún en Windows XP o Windows Server 2003? Espero que esta situación haya servido para poner de manifiesto lo grave que es tener dispositivos fuera de soporte y que no reciben actualizaciones de seguridad. Si aún estás en estas situación, recomiendo encarecidamente su actualización o retirado inmediato. Microsoft ha publicado un parche específico del WannaCrypt para Windows XP/2003, pero este sólo nos cubrirá de este problema, dejando la puerta abierta a multitud de vulnerabilidades que están corregidas en las versiones más recientes de Windows.
Deshabilita protocolos legacy que no necesites
En esta ocasión la vulnerabilidad tenía como objetivo el protocolo SMBv1, que está presente desde los tiempos de OS/2 y Windows for Workgroups. ¿No lo usas? Deshabilítalo. Servidor aún lo utiliza bajo MSX-DOS en un entorno muy controlado.
No, ningún UNIX es invulnerable a amenazas de este tipo
Aprovechando que este tipo de ataques tienen como objetivo sistemas basados en tecnología Microsoft, es habitual leer por Twitter y más redes sociales las típicas falacias de que con otros sistema operativos -normalmente de la familia UNIX- son invulnerables a este tipo de situaciones.
Personalmente adoro el UNIX, especialmente GNU/Linux y considero que es un sistema operativo con unas bases de diseño potentes, robustas y espectaculares teniendo en cuenta que se idearon en los años 70; sin embargo, nada más lejos de la realidad el que si nuestros sistemas se basan en UNIX estamos exentos de este tipo de amenazas. Los desarrolladores de malware siempre tienen como máxima la mayor cuota de mercado, que es lo que precisamente hace que las infecciones sean muy virulentas y así rentabilizar el esfuerzo de desarrollarlas (sí, un buen virus es costoso de desarrollar).
Los parches y actualizaciones de seguridad se suceden día tras día en todos los sistemas operativos, corrigiendo serias vulnerabilidades que podrían permitir la instalación de rootkits o la ejecución remota de código; algo que afecta a UNIX y Windows por igual. Consejo universal: mantén tu sistema operativo al día, sea de la familia que sea.
Un último enlace...
Cian Allner es un miembro habitual de las comunidades técnicas de Microsoft y ha publicado un artículo corto denominado Lecciones aprendidas del ataque global ransomware conocido como WannaCrypt. Podéis leer el artículo aquí, pero termina con una frase de Brad Smith, CLO en Microsoft para enmarcar:
Este ataque es un poderoso recordatorio de que las actividades básicas de gestión de tecnologías de la información, tales como mantener los equipos al día y actualizados, son una responsabilidad prioritaria de todos, y como tal debería ser un elemento clave que todo director ejecutivo debería promover.
¡Actualiza hoy mismo!
