13/11/17 Segurança de Redes # , , ,

Foi descoberta uma ameaça combinada de bloco de mensagens de servidor de e-mail (SMB), que usa a máquina comprometida como um passo para se propagar por meio do EternalBlue.

De acordo com pesquisadores da Netskope Threat Research Labs, a inclusão da exploração EternalBlue é falsa porque será lançada internamente da máquina recém-infectada. Isso permite o acesso direto à máquinas SMB compartilhadas, que acessam arquivos e sistemas de backup num mesmo local. Isso coloca as reservas de dados principais em risco, de uma forma que pode ser impossível antecipar.

EternalBlue é uma vulnerabilidade dos sistemas Windows com versões desatualizadas do serviço de Compartilhamento de Arquivos e Impressora (SMB) do próprio  Windows.

O SMB é um protocolo de arquivos que fornece acesso compartilhado a informações em uma rede. Sendo um programa amplamente adaptado, o que significa que a vulnerabilidade tem um impacto considerável.

“Observamos que a presença de arquivos de documentos incorporados em um armazenamento em nuvem e serviços de colaboração possui uma ameaça mais significativa para um ambiente empresarial. Uma vez que ele chega de uma fonte confiável.”, disse Ashwin Vamshi, pesquisador da Netskope.

 

“Uma vez que um ponto final está comprometido com a carga útil do segundo estágio como EternalBlue, ele cria uma infecção perdida, levando todos os computadores internos vizinhos a serem atacados por SMB a partir do sistema de armadilha interno recentemente comprometido.”, comenta Ashwin Vamshi.

 

Entenda melhor como o EternalBlue funciona

No início deste ano, o grupo The Shadow Brokers revelou uma série de explorações, backdoors e várias ferramentas de ataque afiliadas à atividade do Estado-nação. Uma das façanhas do EternalBlue é abrir portas SMB para aproveitar a execução remota de código. O que tem sido amplamente utilizado em ataques como WannaCry, NotPetya e, mais recentemente no  BadRabbit.

Nesse caso, o ataque inicial começa com um e-mail regional suíço que contém um documento do Word com um objeto e um link incorporado. O que na verdade é um backdoor que baixa a carga útil EternalBlue.

A partir daí a ameaça passa de um ataque perimétrico cruzado para um ataque interno. Assim, o EternalBlue espalha-se por meio da rede de uma organização, sem qualquer intervenção do usuário. As organizações podem não estar preparadas para esta situação.

“O uso de serviços na nuvem pelas empresas, juntamente com a confiança implícita, levou a um aumento nos ataques de malware e, portanto, representa um novo desafio para as organizações.”, disse Vamshi. 

O pesquisador indica que as organizações devem impor políticas sobre o uso de serviços na área de tecnologia. Assim como instâncias não sancionadas de serviços de nuvem sancionados.

 

Quer que sua empresa não passe por essa situação? Siga a recomendação do pesquisador!  Nós da EW Info temos anos de experiência no ramo de segurança digital! Conte conosco e tenha uma assessoria em TI que pensará na sua empresa de forma exclusiva e personalizada! Entre em contato!

Gostou do conteúdo? Continue navegando em nossa página e saiba mais do mundo da tecnologia!

Fonte: Info Security Group

Ligue para a EW Informática e fale com um dos nossos especialistas para uma consultoria para sua empresa sem compromisso – (21)3203-0368.

Conheça também nossos serviços em: Antivírus – Bit Defender e Segurança da informação

Entre em contato
e saiba como a EW Info pode te atender
ewinfo@ewinfo.com.br

no responses
Matérias recentes