SMBGhost: Qué es, en qué consiste y cómo protegernos

SMBGhost es un tipo de vulnerabilidad de seguridad, con características similares a las de un gusano, que afecta a las computadoras con Windows 10 y se informó por primera vez públicamente el 10 de marzo de 2020.

A mediados de marzo de 2020, Microsoft detectó una vulnerabilidad en el protocolo Microsoft Server Message Block 3.1.1, donde un atacante que aprovechó con éxito la vulnerabilidad podría obtener la capacidad de ejecutar código en el servidor o cliente de destino.

Este fallo informático permitió que un paquete de datos, creado especialmente para explotar la vulnerabilidad, puediera ejecutarse en el servidor SMB central y ejecutar código aleatorio en el sistema. Esta vulnerabilidad fue registrada como CVE-2020-0796 el pasado 10 de marzo. Y recibió una puntuación de peligrosidad de 10 puntos sobre 10. Este fallo fue revelado por Microsoft sin querer cuando se lanzaron los parches de seguridad de marzo. Y de tal magnitud fue la repercusión que la compañía tuvo que lanzar un parche experimental para proteger a los usuarios.

El tiempo pasó y, por supuesto, los piratas informáticos empezaron a buscar la forma de aprovecharse de esta vulnerabilidad. El pasado junio empezaron a aparecer los primeros exploits públicos para explotar SMBGhost. Además, el gigante de los sistemas operativos lanzó una nueva actualización de seguridad para solventar el agujero en el componente SMB de Windows 10. El error del Server Message Block permite que los ciberdelincuentes accedan a un un agujero de seguridad, conocido como ‘SMBGhost’, en el sistema operativo y, a partir de ahí, acceder sin restricciones a cualquier PC.

¿En qué consiste SMBGhost?

El agujero de seguridad que haba perjudicado a múltiples usuarios, y que solo afecta a algunas versiones de Windows 10 y Windows Server Core, es conocido como SMBGHost o CoronaBlue.

Esta vulnerabilidad afecta al protocolo SMBv3 (Server Message Block).Que permite compartir archivos e impresoras entre otros servicios en una red. Además, solo ha sido visible durante un tiempo o por tiempos intermitentes. Versiones anteriores de este protocolo ya habían sufrido otra vulnerabilidad. Cuyo exploit, llamado EternalBlue, también permitió a los ciberdelincuentes propagar ransomware, conocido como WannaCry, entre los equipos afectados, provocando importantes consecuencias.

¿Cómo proteger Windows de SMBGhost?

La mejor forma de proteger Windows de SMBGhost es descargando manualmente los parches de seguridad. Disponibles para Windows 10 1903 y 1909, e instalarlos en el ordenador. Una vez instalados, como último paso, reiniciaremos el PC y  ya no debería preocuparnos más de esta vulnerabilidad.

Pero también existen otras formas de proteger nuestros dispositivos de este gran riesgo. En primer lugar, deshabilitar la compresión de SMBv3. Manualmente ejecutando el comando en una ventana de PowerShell con permisos de administrador. Por otro lado, también podemos editar el registro manualmente. Que podemos hacerlo de la siguiente manera: ir al directorio HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > LanmanServer > Parameters y crear un nuevo valor DWORD de 32 bits, llamado «DisableCompression» con el valor «1».

Como última opción, también podemos bloquear en el firewall de Windows los puertos utilizados por SMB de cara a Internet. El puerto por defecto que debemos bloquear es 445, aunque si lo hemos cambiado tendremos que modificarlo nosotros mismos. Si optamos por esta opción, nuestro PC quedará bloqueado de posibles ataques desde Internet y SMB seguirá funcionando en LAN. Aunque eso no nos protegerá de posibles ataques desde dentro de la propia red.

Artículo publicado en CiberSecurity News

Ezagutzera eman:
X