esenfrdeitptru

Herramienta de detección de ataques, mitigación y enumeración Log4Shell para Microsoft Windows

AS-131-2021

Fecha: 22/12/2021

Resumen:

La empresa Datto ha desarrollado un script gratuito y puesto a disposición en GitHub para cualquier solución de gestión y supervisión remota (RMM), para mitigar los ataques con la vulnerabilidad Log4Shell.

Esta herramienta es un script basado en PowerShell que se puede ejecutar en un sistema Windows (no se ha escrito ni probado con otras plataformas). Este script de evaluación de endpoints puede enumerar sistemas potencialmente vulnerables, detectar intentos de intrusión e inocular sistemas Windows contra ataques Log4j.

A diferencia de otros escáneres, scripts y herramientas creados a raíz de Log4Shell, que solo escanean el sistema en busca de archivos JAR inseguros, la herramienta de Datto va un paso más allá. Proporciona la capacidad de buscar el contenido de los registros del servidor para detectar intentos de intrusión, así como para inocular sistemas Windows contra ataques Log4j.

De forma general, es necesario considerar los siguientes consejos que ayudan a mitigar esta vulnerabilidad:

  • Actualice todas las aplicaciones Java que utilizan Log4j.
  • Restringir el acceso a la red saliente desde los hosts afectados para que las clases de Java no se puedan descargar desde ubicaciones remotas

Pasos para ejecutar la herramienta:

1. Descargar el archivo ZIP con la herramienta

           https://github.com/datto/log4shell-tool

2. Desde el host, habilitar la ejecución de scripts PowerShell

        -Ejecutar power-shell con derechos de administrador

        -Ejecutar el comando:

              > set-executionpolicy unrestricted –force

3. Editar el archivo: windows-build9c github.ps1 y habilitar las variables de entorno

        $env:usrScanScope = 1
        $env:usrUpdateDefs = "True"
        $env:usrMitigate = 'Y'

        En el sitio de GitHub explica los valores que pueden tomar estas variables.

4. Ejecutar el script de PowerShell con el siguiente comando:

        >powershell.exe -command "& { path\script.ps1 }"

        (Considerar el path donde se descargó la herramienta, ej: c:\descargas\\log4shell-tool-main)

Referencias:

https://www.helpnetsecurity.com/2021/12/21/log4shell-enumeration-tool/

https://miracomosehace.com/habilitar-ejecucion-scripts-powershell-windows-10/#%C2%BFC%C3%B3mo_habilitar_la_ejecuci%C3%B3n_de_Scripts_de_PowerShell_en_Windows_10?