Mi firewall está reduciendo el tráfico de 3 terminales conectadas a través de SSL Client-2-Site VPN, porque detecta "Microsoft Windows SMB CVE 2017-0016 Vulnerabilidad de denegación de servicio de Tree Connect Response".
El destino es un controlador de dominio.
He ejecutado un análisis sin conexión con Kaspersky rescue Disk, y no se encontró nada en 2 de ellos. ¿Qué podría estar causando esta alerta?
Kaspersky Rescue Disk es una herramienta contra malware, no contra ataques remotos externos y en la mayoría de los casos no ayudaría aquí.
La razón más posible por la que se eliminó este tráfico es que las solicitudes, intencionalmente o no, se diseñaron de manera que podrían causar un estado de denegación de servicio en su host. En otras palabras, si los sistemas que usa son vulnerables a CVE 2017-0016 ("Microsoft Windows contiene un error de corrupción de memoria en el manejo del tráfico SMB, que puede permitir que un atacante remoto no autenticado provoque una denegación de servicio en un sistema vulnerable . "- enlace ), el tráfico que se eliminó podría haber causado que se bloqueen y por eso fue caído.
Cosas a considerar:
¿Ha aplicado la actualización de seguridad crítica MS17-012? ( enlace )
¿Incluso necesitas SMB? De lo contrario, deshabilite este servicio (cierre el puerto 445).
También existe la posibilidad de que este sea un falso positivo y que el tráfico sea genuino y no induzca a DoS. Si sospechas de esto, investiga el tráfico y modifica las reglas del cortafuegos en consecuencia.
Responder tu comentario aquí ya que el espacio para comentarios parece demasiado pequeño.
1) Cada entorno es diferente y yo, o cualquier otra persona, no podemos decir cómo debe investigarse exactamente su situación. Pero los registros son todo lo que necesita, no necesita perturbar el trabajo de las máquinas. Empezaría por ver todos los registros relacionados con estos hosts alrededor de los horarios de esas alertas DoS (podría comenzar con 5 minutos y reducirse si la cantidad de entradas de registro es inmanejable) para obtener un contexto de los eventos. Por ejemplo, ¿hubo algún otro tráfico sospechoso enviado desde la misma fuente?
2) Los dispositivos, que están conectados a la red, suelen estar disponibles para el análisis de vulnerabilidades malintencionadas y los intentos de ataque externo . No necesitan estar infectados si los actores maliciosos quieren intentar atacarlos. Mientras estén parcheados para las vulnerabilidades mencionadas, está bien.
No estoy seguro si entiendo su infraestructura descrita correctamente, pero si el tráfico perdido fue interno, lo más probable es que sea un falso positivo. O alguien dentro de su infraestructura trató de hacer su host (no imposible).