May. 12th, 2017

scif_yar: (Default)
[personal profile] scif_yar
Windows Server 2003 missing Network Store Interface Service (nsi)
There were 3 dependencies (bowser, mrxsmb10 and nsi) shown for the Lanmanworkstation service. Usually there has to be none. After finding your post here and removing the 3 items, the server started as wanted again.
https://social.technet.microsoft.com/Forums/windowsserver/en-US/4d73bd1b-0c8e-4c17-ae2e-50a1cdd215b3/windows-server-2003-missing-network-store-interface-service?forum=winservergen

Коллеги выхватили на виртуалке.
Слышал о таком выхватывании в Server 2008.
Походу, дырка неведомая.

Разовое лечение там же -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\
Edit the DependOnService key and remove NSI

Но вообще проблема так не лечится, после следующего ребута возникает снова.
scif_yar: (Default)
[personal profile] scif_yar
WannaCry/WanaCrypt0r 2.0 is indeed triggering ET rule : 2024218 "ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response

36,000 detections of #WannaCry (aka #WanaCypt0r aka #WCry) #ransomware so far. Russia, Ukraine, and Taiwan leading. This is huge.

https://twitter.com/JakubKroustek

An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak
It's been a matter of weeks since a shady hacker crew called Shadow Brokers dumped a load of tools believed to belong to the National Security Agency (NSA). It now appears one leaked NSA tool, an exploit of Microsoft Windows called EternalBlue, is being used as one method for rapidly spreading a ransomware variant called WannaCry across the world.

https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#3305ef5e599b

Выглядит вот так



В новостях пока тихо - только типа на западе
http://www.rbc.ru/society/12/05/2017/5915cb609a794752f6b24e9d?from=main

Дырка ETERNALBLUE MS17-010 Echo Response - закрыта в марте 2017
MS17-010: Security update for Windows SMB Server: March 14, 2017
https://support.microsoft.com/en-us/help/4013389/title

Опубликована в апреле -
14 апреля 2017 года был опубликован новый дамп от группы хакеров, именующих себя The Shadow Brokers. Среди прочего в дампе находится фреймворк FuzzBunch, позволяющий эксплуатировать опасные RCE-уязвимости ОС Windows практически в автоматическом режиме. Данная уязвимость устранена с выходом пачта MS17-010: он устраняет шесть проблем Windows SMB Server, пять из которых позволяют выполнить произвольный код через создание специального пакета Server Message Block (SMB) 1.0.
https://habrahabr.ru/company/pentestit/blog/327490/

Шагает по миру:
WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain
https://www.theregister.co.uk/2017/05/12/spain_ransomware_outbreak/


Мегафно
https://meduza.io/news/2017/05/12/sotrudniki-megafona-soobschili-o-hakerskoy-atake

МВД
http://varlamov.ru/2370148.html

АПД
Сегодня в 20:14

Сотрудник Avast Якуб Кроустек сообщает, что антивирус Avast зафиксировал уже 57 тысяч заражений по всему миру.

И так далее.

Про антивирусы:
SEP, KAV отсосали.
PA TRAPS рулил.

Profile

Сисадмины всех кофеварок, соединяйтесь!

July 2017

S M T W T F S
      1
2 345678
9101112131415
161718192021 22
23242526272829
3031     

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 22nd, 2017 02:43 pm
Powered by Dreamwidth Studios