Estimados:
En las últimas horas se ha recibido reportes de detección de una nueva variante de WORM_DOWNAD. Esta nueva variante es detectada por TREND MICRO bajo el nombre de WORM_DOWNAD.AD
Algunas de las características a destacar de este nuevo código malicioso es la capacidad de utilizar una reciente vulnerabilidad de Microsoft (MS08-067) para propagar su código a través de la red utilizando el puerto TCP/445 en múltiples conexiones tanto a nivel de LAN como a Internet.
Por otro lado, uno de los síntomas más evidentes que provoca es el bloqueo de cuentas de usuarios de Active Directory, debido a que intenta conectarse a recursos compartidos ADMIN$ de la LAN probando un diccionario de passwords frecuentes; así como también, es posible detectar la caída del servicio Server.
Según lo mencionado arriba, los síntomas más comunes podemos resumirlos en tres puntos:
1) Las cuentas de usuarios de AD están bloqueadas: los usuarios no se pueden loggear a la sesión de Windows.
2) Algunos servicios de Windows Server son detenidos súbitamente.
3) Ataques al puerto 445 y otros puertos aleatorios como 40000 y 40400.
Las recomendaciones son:
1) Mantener la plataforma actualizada según el documento técnico (MS08-067).
2) Verificar que la plataforma de antivirus esté actualizada.
3) Verificar que los equipos tengan configurado adecuadamente el firewall.
En la proxima entrega, les mostraremos como realizar un despliegue efectivo y rápido de esta actualización de Microsoft.
Saludos
Enrique
PD: se agradece a Trend Micro y a GFI por el aporte de la información para este artículo.
Punto Net Tech
Servicios Corporativos de Ciberseguridad - IT - DBA
Suscribirse a:
Comentarios de la entrada (Atom)
No hay comentarios.:
Publicar un comentario