Microsoft planea publicar el parche en breve para la vulnerabilidad 0-day en SMB

Cuando hablamos de fallos de seguridad que afectan potencialmente a muchos usuarios, las formas y velocidad de reacción suelen ser vitales para evitar graves incidentes. La vulnerabilidad recientemente descubierta en el servicio SMB en sistemas Windows es un buen ejemplo, por eso vamos a repasar los puntos clave de este agujero de seguridad y las posibles soluciones temporales.

Fallo en SMB

A pesar de que la mayoría de nosotros supimos de esta vulnerabilidad la semana pasada gracias al tweet publicado por el investigador Laurent Gaffie, Microsoft sabe de la existencia de este fallo desde hace bastantes meses. Gaffie comunicó a la empresa su descubrimiento el pasado 25 de septiembre, indicando que puede ocasionar una denegación de servicio en forma de pantallazo azul en las máquinas con sistemas Windows vulnerables.

Inicialmente, Microsoft tenía previsto publicar el correspondiente parche de seguridad en diciembre de 2016, pero se pospuso esta publicación hasta febrero de 2017 para así unificarla con otras actualizaciones de seguridad relacionadas con el servicio SMB. Este retraso parece haber sido el detonante para que el investigador decidiera hace unos días publicar los detalles de la vulnerabilidad y una prueba de concepto para demostrar su funcionamiento.

Fue cuando ya se hubieron publicado los detalles y la prueba de concepto cuando diversos organismos como el US-Cert y el SANS Internet Storm Center emitieron sus respectivas alertas, informando del peligro de que esta vulnerabilidad fuera aprovechada por atacantes. Ambos organismos confirmaron la posibilidad de que un atacante provocase una denegación de servicio, pero no pudieron verificar que se pudiese usar este fallo para ejecutar código malicioso.

Soluciones temporales

Cada vez que se anuncia una vulnerabilidad de este estilo suelen aparecer soluciones temporales para poder aplicarlas hasta que salga el parche oficial. En esta ocasión, las recomendaciones pasan por bloquear las conexiones SMB salientes, concretamente las de los puertos TCP 139 y 445 y UDP 137 y 138.

Además, se recomienda revisar la versión utilizada de SMB y aprovechar para deshabilitar SMBv1.0. De esta forma, y aunque la versión más reciente (SMBv3) se vea afectada por esta vulnerabilidad, evitaremos que otros ataques puedan aprovecharse de agujeros de seguridad en una versión de este servicio que tiene más de 30 años.

Adicionalmente y como medida drástica, se pueden desactivar mediante la ejecución de comandos en PowerShell todas las versiones de SMB activas en nuestro sistema. Esto puede ocasionar problemas a aquellos usuarios a la hora de acceder a ficheros, carpetas o dispositivos compartidos, por lo que es importante evaluar las consecuencias antes de ejecutar estos comandos en nuestros sistemas.

Deshabilitar SMBv1:

Set-ItemProperty

-Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 –Force

Deshabilitar SMBv2

Set-ItemProperty

-Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB2 -Type DWORD -Value 0 –Force

Deshabilitar SMBv3

Set-ItemProperty

-Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB3 -Type DWORD -Value 0 –Force

Conclusión

Tal y como se recomienda cada vez que aparece una vulnerabilidad de este tipo, la aplicación de los parches de seguridad conforme estos aparezcan resulta fundamental. Por otra parte, la adopción de medidas de seguridad adicionales como la deshabilitación del servicio SMB depende de la valoración por parte de cada usuario de los pros y los contras.

Josep Albors

Utilizan una web del gobierno polaco para propagar malware orientado al sector bancario