Alguien me puede ayudar

[alvarezxon]

Hola amigos desde hace unos dias me esta llegando este mensaje al correo electrónico, soy el administrador de la consola pero no se desde donde proviene ese ataque o que es lo que debo hacer, ojala alguien me pueda guiar.

 

se adjunta foto

[Vimaro]

Muchas gracias por su mensaje.
Esos eventos dan para pensar lo que podría estar pasando en su entorno. La buena noticia es que Kaspersky Endpoint Security los está detectando y bloqueando.

Los ataques de fuerza bruta (https://threats.kaspersky.com/mx/threat/Bruteforce.Generic.RDP/) son intentos de adivinar una contraseña para acceder al equipo de donde proviene el evento. 

Los ataques de tipo intrusión como el que nos envió en la captura (https://threats.kaspersky.com/mx/threat/Intrusion.Win.MS17-010.*/) hacen referencia al intento de aprovechar una vulnerabilidad en el equipo de donde proviene el evento.

Recomendaciones:

• Establezca contraseñas complejas para los usuarios en general para evitar que el ataque de fuerza bruta tenga éxito. Si le es posible, establezca mecanismos de múltiple factor de autenticación.
• Revise todos los servicios expuestos en Internet, asegúrelos mediante reglas de Firewall en el perímetro si le es posible.
• Revise las cuentas de usuario que tienen permisos de acceso vía escritorio remoto (RDP). Cambie contraseñas de esos usuarios, establezca contraseñas seguras y limite la cantidad de cuentas que pueden acceder a su red mediante ese servicio.

Aparentemente alguien está intentando vulnerar equipos mediante la vulnerabilidad (valga la redundancia) del servicio SMB. Intente adicionalmente desplegar actualizaciones de parches en los equipos destino.

Edited July 28, 2022 by Vimaro