17/05/2017 19:00 h PDT
AWS está al tanto de la existencia del ransomware WannaCry (también conocido como WCry, WanaCrypt0r 2.0 o Wanna Decryptor) que aprovecha los problemas en múltiples versiones del servidor SMB de Microsoft Windows. SMB opera de manera predeterminada en los puertos UDP 137 y 138, y en los puertos TCP 139 y 445. Este servicio le otorga a los sistemas remotos la posibilidad de compartir archivos e impresiones. El 14 de marzo de 2017, Microsoft lanzó una actualización fundamental de seguridad para el servidor SMB de Microsoft Windows que mitiga este problema. Puede obtener más información provista por Microsoft en el blog de Microsoft MSRC y en el Boletín de seguridad de Microsoft MS17-010. Los servicios de AWS no se verán afectados, a excepción de los que se indican a continuación:
EC2 Windows
Los clientes de AWS que utilizan las AMI de Windows provistas por AWS en la versión del 12 de abril de 2017 o que tienen habilitadas las actualizaciones automáticas no se verán afectados. Alentamos a nuestros clientes que utilizan una AMI anterior o que no tienen habilitadas las actualizaciones automáticas a que instalen la actualización de seguridad. Como siempre, AWS recomienda a los clientes que sigan las prácticas recomendadas de seguridad, que revisen la configuración de sus grupos de seguridad y que otorguen acceso a los puertos antes mencionados solo para las instancias y los hosts remotos que lo requieran. Los grupos de seguridad de EC2 bloquean los puertos mencionados de manera predeterminada.
Las notas de la versión de la AMI de Windows de AWS se encuentran disponibles aquí.
WorkSpaces
Los escritorios de WorkSpace creados desde el 15 de abril de 2017 en adelante o que tengan habilitadas las actualizaciones automáticas no se verán afectados. Alentamos a los clientes que hayan creado un escritorio de WorkSpace antes del 15 de abril de 2017 y que no tengan habilitadas las actualizaciones automáticas a instalar la actualización de seguridad, o bien, a crear un nuevo escritorio de WorkSpace.
Directory Service
ACTUALIZACIÓN 20/05/2017: hemos completado la implementación de parches de los directorios de cliente de Microsoft AD. No se requiere ninguna acción por parte del cliente.
17/05/2017: estamos implementando parches en los directorios de Microsoft AD de manera activa. Los clientes tienen protección contra el acceso externo mediante la configuración predeterminada de Directory Service que solo permite el acceso desde la VPC del cliente. Actualizaremos el presente boletín cuando la implementación de los parches se haya completado.
Amazon Simple AD, AD Connector y AWS Cloud Directory no se verán afectados por este problema.
Elastic Beanstalk
Los entornos de Elastic Beanstalk que utilicen la plataforma Windows Server que se hayan creado o actualizado después del 4 de mayo de 2017 no se verán afectados por este problema. Alentamos a los clientes con entornos Windows de Elastic Beanstalk existentes a actualizar la versión de su plataforma para recibir la actualización. Esto se puede lograr a través de la consola de administración de AWS o mediante la reconstrucción del entorno. Las notas de la versión de Elastic Beanstalk para la última versión de la plataforma están disponibles aquí.