El viernes de la semana pasada, la US-CERT registraba una nueva vulnerabilidad en el protocolo SMB de Windows que podía permitir a un atacante desde realizar ataques de denegación de servicio (DoS) en el sistema operativo para mostrar un pantallazo azul hasta ejecutar código de forma remota con permisos de administrador para tomar el control del sistema completo.

SMB, Server Message Block, es un protocolo de red que permite compartir archivos, impresoras y prácticamente cualquier otro recurso de red a través de la red local entre varios equipos que ejecuten Windows. Como hemos dicho, el pasado viernes se dio a conocer esta vulnerabilidad, bastante grave, que afectaba al protocolo, sin embargo, Microsoft no la ha dado importancia, es más, su única respuesta a la vulnerabilidad fue recomendar a los usuarios usar Windows 10 y Microsoft Edge, algo totalmente irrelevante en lo referente a la vulnerabilidad.

Windows SMB Zero-Day Exploit

  • Aunque el experto de seguridad no ha publicado el exploit como tal, muchos piratas informáticos se han hecho con el concepto y han empezado a crear exploits totalmente funcionales para aprovecharse de esta vulnerabilidad, algo preocupante ya que en cualquier momento esta vulnerabilidad puede empezar a ser explotada de forma masiva por la red y, a día de hoy, no tiene solución.

Microsoft no confirma la vulnerabilidad y aplaza el parche de seguridad

  • A pesar de tener ya varios días, Microsoft aún no ha confirmado este fallo de seguridad en su sistema operativo, y no solo eso, sino que además ha aplazado el parche de seguridad, el cual probablemente no llegue hasta el próximo martes día 14 de febrero, junto al resto de parches liberados en el martes de parches.

Cómo protegernos de esta vulnerabilidad en el protocolo SMB de Microsoft

  • Si queremos evitar que los piratas informáticos exploten este fallo en nuestro sistema, podemos bloquear en nuestro firewall (incluso en nuestro router, para proteger toda nuestra red) los puertos 139 y 445 TCP junto a 137 y 138 UPD.

Como desactivar el protocolo SMB en Windows.

Para desactivar los protocolos SMB en Windows 7 o Windows 10, vamos a echar mano de la herramienta PowerShell.

Por lo tanto, abrimos una ventana de PowerShell con permisos de adminstrador y ejecutamos el siguiente comando:

Set-ItemProperty

-Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

De la misma manera, podemos proceder para desactivar las versiones SMBv2 y SMBv3:

Desactivación versiones SMBv2

Set-ItemProperty

-Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 0 -Force

Desactivación versiones SMBv3:

Set-ItemProperty

-Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB3 -Type DWORD -Value 0 -Force

Cada comando lo que hace es crear un valor DWORD de 32 bits en la ruta del registro del sistema indicada, por lo tanto, podemos comprobar que esto es así abriendo una ventana de registro de Windows y navegando hasta la ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters.

Esto podría provocar algún problema al cerrar el acceso a archivos, datos o dispositivos compartidos en nuestro ordenador, sin embargo, cada usuario deberá decidir si prefiere encontrarse con alguno de estos problemas de comunicación a través de estos protocolos de red, o estar expuestos a ser víctimas de la vulnerabilidad antes de que Microsoft lo solucione.

Para volver a activar las tres versiones del protocolo SMB, simplemente podemos volver a lanzar al mismo comando desde PowerShell indiciado Value 1 o bien acceder al registro, ir hasta la ruta que indicamos un poco más arriba y cambiar cada uno de los valores DWORD de 32 bits para cada una de las versiones del protocolo SMB y poner su valor a 1 en hexadecimal.

Fuente: Redes Zone.net

Anuncios