El ataque de ayer en gran escala a organizaciones públicas y privadas en el mundo ha motivado a Microsoft a hacer a un lado su política de fin de soporte para Windows XP, Windows 8, y Windows Server 2003 y ha publicado la actualización de seguridad que corrige el fallo SMB que el ransomware Wana Decrypt0r intenta explotar en el ataque cibernético.
Hace unas horas Microsoft publicó una actualización de seguridad para proteger a los sistemas Windows XP, Windows 8, y Windows Server 2003 contra la explotación de la vulnerabilidad SMB que cibercriminales están haciendo desde ayer mediante el ransomware Wana Decrypt0r.
Windows XP, Windows 8, y Windows Server 2003 son sistemas dejados de soportar por Microsoft y para los cuales dejó de publicar actualizaciones de seguridad desde hace años. Sin embargo, son sistemas que aún siguen siendo utilizados por miles de organizaciones en todo el mundo.
El ataque del ransomware que ayer cobró notoriedad debido a la gran escala de su alcance, y que afectó a sistemas de Telefónica, de España, y del Servicio Nacional de Salud, de Inglaterra, explota la vulnerabilidad en SMBv1 para la propagación de WanaDecrypt0r.
La vulnerabilidad corregida por Microsoft, publicada en el boletín de seguridad MS17-010, aplica para Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 y Windows Server 2016, que son sistemas aún soportados por Microsoft. Ante la escalada del ataque, Microsoft ha publicado el parche de seguridad para Windows XP, Windows 8, y Windows Server 2003 y protegerlos de la afectación de WanaDecrypt0r.
Es recomendable que los usuarios y administradores de TI apliquen cuanto antes el parche de seguridad para mitigar la amenaza del ransomware. Deshabilitar el protocolo SMBv1 ayudará.
La propagación de Wana Decrypt0r ha sido bloqueada de forma accidental por el registro de un dominio encontrado en su código. Antes de la infección el malware llama al dominio; si lo encuentra detiene su actividad, pero si no lo encuentra entonces bloquea con ransomware a la máquina víctima. El investigador MalwareTech fue quien encontró el dato del dominio, y que al registrarlo ocasionó que el malware se desactivara de forma remota.
Sin embargo, esta situación puede ser temporal ya que es posible que surja una variante para continuar el ataque como el de ayer.