El viernes de la semana pasada, la US-CERT registraba una
nueva vulnerabilidad en el protocolo SMB de Windows que podía permitir a un
atacante desde realizar ataques de denegación de servicio (DoS) en el sistema
operativo para mostrar un pantallazo azul hasta ejecutar código de forma remota
con permisos de administrador para tomar el control del sistema completo.
SMB, Server Message Block, es un protocolo de red que permite compartir archivos, impresoras y prácticamente cualquier otro recurso de red a través de la red local entre varios equipos que ejecuten Windows. Como hemos dicho, el pasado viernes se dio a conocer esta vulnerabilidad, bastante grave, que afectaba al protocolo, sin embargo, Microsoft no la ha dado importancia, es más, su única respuesta a la vulnerabilidad fue recomendar a los usuarios usar Windows 10 y Microsoft Edge, algo totalmente irrelevante en lo referente a la vulnerabilidad.
Windows SMB Zero-Day Exploit
- Aunque el experto de seguridad no ha publicado el exploit como tal, muchos piratas informáticos se han hecho con el concepto y han empezado a crear exploits totalmente funcionales para aprovecharse de esta vulnerabilidad, algo preocupante ya que en cualquier momento esta vulnerabilidad puede empezar a ser explotada de forma masiva por la red y, a día de hoy, no tiene solución.
- A pesar de tener ya varios días, Microsoft aún no ha confirmado este fallo de seguridad en su sistema operativo, y no solo eso, sino que además ha aplazado el parche de seguridad, el cual probablemente no llegue hasta el próximo martes día 14 de febrero, junto al resto de parches liberados en el martes de parches.
Cómo protegernos de esta vulnerabilidad en el
protocolo SMB de Microsoft
- Si queremos evitar que los piratas informáticos exploten este fallo en nuestro sistema, podemos bloquear en nuestro firewall (incluso en nuestro router, para proteger toda nuestra red) los puertos 139 y 445 TCP junto a 137 y 138 UPD.
Como desactivar el protocolo SMB en Windows.
Podemos desactivar los protocolos SMB en Windows 7 o Windows
10, con la herramienta PowerShell.
Abrimos una ventana de PowerShell con permisos de adminstrador y ejecutamos el
siguiente comando:
Set-ItemProperty
-Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”
SMB1 -Type DWORD -Value 0 -Force
De la misma manera, podemos proceder para desactivar las
versiones SMBv2 y SMBv3:
Desactivación versiones SMBv2
Set-ItemProperty
-Path
“HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type
DWORD -Value 0 -Force
Desactivación versiones SMBv3:
Set-ItemProperty
-Path
“HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB3 -Type
DWORD -Value 0 -Force
Cada comando lo que hace es crear un valor DWORD de 32 bits
en la ruta del registro del sistema indicada, por lo tanto, podemos comprobar
que esto es así abriendo una ventana de registro de Windows y navegando hasta
la ruta:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters.
Esto podría provocar algún problema al cerrar el acceso a
archivos, datos o dispositivos compartidos en nuestro ordenador, sin embargo,
cada usuario deberá decidir si prefiere encontrarse con alguno de estos
problemas de comunicación a través de estos protocolos de red, o estar
expuestos a ser víctimas de la vulnerabilidad antes de que Microsoft lo
solucione.
Para volver a activar las tres versiones del protocolo SMB, simplemente podemos volver a lanzar al mismo comando desde PowerShell indiciado Value 1 o bien acceder al registro, ir hasta la ruta que indicamos un poco más arriba y cambiar cada uno de los valores DWORD de 32 bits para cada una de las versiones del protocolo SMB y poner su valor a 1 en hexadecimal.