Vulnerabilidad Zero-Day en SMB afecta a Windows 10, 8.1, 7 y Windows Server

El equipo de Respuesta ante Emergencias Computacionales de EEUU (un significado aproximado de las siglas US-CERT) ha publicado esta pasada semana una nota informativa, en la que hace referencia a una vulnerabilidad Zero-Day que afecta a la gestión del protocolo SMB en todas las ediciones recientes de Windows. Esto incluye a los sistemas operativos de consumo de los últimos 10 años y también afecta a Windows Server.

De ella podemos extraer lo siguiente:

Microsoft Windows contiene un fallo de seguridad consistente en una corrupción de memoria en la gestión del tráfico SMB, lo que podría permitir a un atacante remoto, sin autenticado, causar un ataque de denegación de servicio (DoS) o ejecutar de forma arbitraria fragmentos de código en un sistema vulnerable.

Vulnerabilidad Zero-Day en protocolo SMB

Es decir, que un atacante podría causar un ataque DoS en cualesquiera de los sistemas operativos Windows, provocando que los dispositivos se conecten a un recurso compartido -SMB- malicioso. Según la información del US-CERT existe la posibilidad de llegar aún más lejos, siendo capaz de ejecutar código con privilegios al nivel del Kernel de Windows.

Un sistema que resulte afectado arrojaría una pantalla azul de error (pantalla azul de la muerte o BSOD) si el ataque tiene éxito:

vulnerabilidad-en-smb-de-windows-y-windows-server

El US-CERT ha confirmado la vulnerabilidad en dos sistemas, tanto Windows 8.1 como Windows 10 con actualizaciones al día. Además, según un experto llamado Python Responder, la vulnerabilidad afectaría también a los sistemas operativos para servidores, Windows Server.

Aunque no existe confirmación para este último punto, parece bastante probable que las versiones de servidor estén igualmente afectadas por la vulnerabilidad. Los POC o pruebas de concepto de Python Responder los puedes encontrar aquí.

A la espera de parche ¿que hacemos?

Esta entidad gubernamental clasifica la vulnerabilidad con el máximo nivel de gravedad posible (10) en lo que se conoce como CVSS o Common Vulnerability Scoring System. El hecho de ser explotable remotamente y otros, como el nivel de conocimiento requerido para usar la vulnerabilidad en su favor, justifican esta catalogación.

Microsoft aún no ha lanzado un boletín de seguridad para este problema, aunque no se espera que tarden mucho en avisar a los clientes sobre la vulnerabilidad y opciones de mitigación disponibles.

Lo que se recomienda, por el momento, es bloquear las conexiones SMB salientes en los puertos TCP (139, 445) y en los puertos UDP (137, 138) desde la red local hacia la WAN, para proteger dispositivos Windows. Esto aplica principalmente a entornos corporativos y servidores, ya que las redes domésticas no tienen WANs con demasiada frecuencia.

Ver conexiones SMB activas en Windows

Como nunca está de más informarse, si lo que quieres es comprobar si Windows tiene conexiones SMB activas, haz esto:

  1. Pulsa sobre la tecla Windows y escribe a continuación Powershell. Mantén pulsado CTRL + Mayús y pulsa finalmente INTRO.
  2. Confirma los permisos de administrador en el UAC.
  3. Escribe el texto Get-SmbConnection

No debería aparecer nada en la lista si no tienes conexiones SMB activas.

2 comentarios en “Vulnerabilidad Zero-Day en SMB afecta a Windows 10, 8.1, 7 y Windows Server

  1. Hola Alejandro. Sabes que te leo con atención y lo de hoy creo que es muy relevante aunque me quedo corta en la comprensión del tema.
    Mi relación amor-odio con el tito B. Gate es de antiguo y lo que en realidad me gustaría es haber aprendido Linux para no depender tanto de él.
    Gracias por enseñar.

    Me gusta

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s