Vulnerabilidad crítica en SMBv3, teletrabajo y coronavirus. La tormenta perfecta

Actualización 12/03: Microsoft ha publicado los boletines de seguridad correspondientes para solucionar esta grave vulnerabilidad. Estos pueden ser descargados desde los siguientes enlaces:

Noticia original: Parecía un boletín de seguridad más, algo rutinario que se publica por parte de Microsoft cada segundo martes de cada mes con parches para otras tantas vulnerabilidades críticas y más leves. Sin embargo, poco después de publicarse este listado de actualizaciones, la empresa lanzó una alerta informando de una vulnerabilidad crítica para la cual aún no se dispone de parche de seguridad y que afectaría al protocolo SMBv3 en sistemas clientes y servidores. Y no podía llegar en peor momento.

Revisando esta vulnerabilidad

Por la información filtrada por empresas como Talos o Fortinet, todo apunta a que Microsoft tenía preparado el parche para esta vulnerabilidad, pero que en el último momento lo retiró. Sin embargo, se conocen los suficientes detalles como para que ya empiecen a aparecer las primeras pruebas de concepto, algo preocupante por la cantidad de sistemas que podrían verse afectados.

Aprovechando este agujero de seguridad, un atacante podría ejecutar remotamente código malicioso en un servidor o endpoint vulnerable (Windows 10 versiones 1903 y 1909, Windows Server 1903 y 1909) que tuviese el protocolo SMBv3 activado, algo que puede desembocar en la toma de posesión del sistema objetivo. Para ello, el atacante debería convencer a un usuario de un equipo cliente para que se conectase a un servidor SMBv3 malicioso (mediante phishing, por ejemplo), mientras que en el caso de un ataque a un servidor, el atacante debería enviar paquetes específicamente diseñados al sistema objetivo.

Al no existir de momento ningún parche que solucione esta vulnerabilidad, lo único que se puede hacer es adoptar medidas de mitigación, aunque estas pueden ser difíciles de cumplir en muchos casos. Microsoft recomienda deshabilitar la compresión en el protocolo SMBv3 en los equipos servidores, algo que puede hacerse mediante el siguiente comando en PowerShell.

Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» DisableCompression -Type DWORD -Value 1 -Force

En lo que respecta a los endpoint, la única forma de protegerlos actualmente es mediante el bloqueo de las conexiones salientes al puerto 445/TCP fuera de la red local, algo que puede realizarse tanto a nivel de cortafuegos corporativo como del propio sistema si nos encontramos en un entorno de pequeña empresa o doméstico.

En el peor momento posible

Esta vulnerabilidad se ha hecho pública justo cuando en todo el mundo se está lidiando con la crisis sanitaria que supone el Covid-19 y, tanto en España como en otros países, se están adoptando medidas de teletrabajo a marchas forzadas y no siempre teniendo en cuenta las medidas de seguridad básicas. Esto supone un escenario ideal para causar un grave impacto en el caso de que alguien decidiese explotar esta vulnerabilidad a gran escala, tal y como sucedió en mayo de 2017 con Wannacry.

Ahora mismo, con los hospitales llegando al límite de su capacidad operativa en algunas regiones, un fallo informático de esta magnitud no haría sino empeorar aun mas una situación ya suficientemente grave. Lo único que puede mitigar este escenario es que los equipos utilizados en centros sanitarios no dispongan todavía de las versiones más recientes de Windows 10 (las afectadas por esta vulnerabilidad).

Además, todas esas empresas que están activando su plan de teletrabajo y mandando a sus empleados a casa sin tomar las medidas de seguridad necesarias están exponiendo sus sistemas a ataques remotos, y es posible que algunos delincuentes se estén frotando las manos ante la perspectiva de hacer su agosto particular, ya sea con ataques de ransomware o de otro tipo.

Conclusión

Ni el mundo de la seguridad informática permanece ajeno a la crisis sanitaria que estamos sufriendo ni debemos olvidar lo vulnerables que ciertos sistemas críticos (especialmente en situaciones de emergencia) pueden resultar si no tomamos las medidas adecuadas. Este escenario es una prueba de fuego para comprobar si los planes de contingencia se han planificado de forma acertada y se están llevando a cabo adecuadamente. Por el bien de todos, esperamos que así sea.

Josep Albors

Resumen de amenazas informáticas relacionadas con el coronavirus (I)