Más de 100.000 equipos siguen siendo vulnerables a la explotación de SMBGhost

Aunque Microsoft lanzó en marzo un parche para la vulnerabilidad crítica SMBGhost en el protocolo Server Message Block (SMB), más de 100.000 máquinas siguen siendo susceptibles de ataques que exploten el fallo. Esta vulnerabilidad de ejecución remota de código (RCE) que puede ser aprovechada por un código malicioso con características de gusano, podría permitir que […]

Aunque Microsoft lanzó en marzo un parche para la vulnerabilidad crítica SMBGhost en el protocolo Server Message Block (SMB), más de 100.000 máquinas siguen siendo susceptibles de ataques que exploten el fallo.

Esta vulnerabilidad de ejecución remota de código (RCE) que puede ser aprovechada por un código malicioso con características de gusano, podría permitir que actores maliciosos propaguen malware entre los equipos sin necesidad de la interacción del usuario.

El cuadro a continuación muestra la cantidad de sistemas vulnerables que están abiertos a SMBGhost.

La gravedad del fallo que afecta a Windows 10 y Windows Server (versiones 1903 y 1909) debería haber convencido a todos de la necesidad de parchear sus máquinas de inmediato. Sin embargo, según Jan Kopriva, quien reveló sus hallazgos en los foros SANS ISC Infosec, ese no parece ser el caso.

“No estoy seguro de qué método utiliza Shodan para determinar si una determinada máquina es vulnerable a SMBGhost, pero si su mecanismo de detección es preciso, parecería que todavía hay más de 103.000 máquinas vulnerables que son accesibles desde Internet. Esto significaría que una computadora vulnerable se esconde detrás de aproximadamente el 8% de todas las IP que tienen el puerto 445 abierto”, dijo Kopriva.

La vulnerabilidad SMBGhost (CVE-2020-0796) fue categorizada como crítica y tiene un puntaje de 10 en la escala del Common Vulnerability Scoring System (CVSS). Tras su descubrimiento, la vulnerabilidad fue considerada tan grave que en lugar de repararla en el paquete de actualizaciones que lanza cada primer martes del mes (Patch Tuesday), Microsoft lanzó un parche de emergencia.

“Para aprovechar la vulnerabilidad contra un servidor, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 apuntado. Para explotar la vulnerabilidad contra un cliente, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer al usuario de que se conecte a él”, dijo Microsoft cuando lanzó el parche.

Eso fue en marzo, y pronto surgieron exploits disponibles públicamente, aunque solo lograron una escalada de privilegios locales. Sin embargo, tres meses después se lanzó la primera prueba de concepto (PoC) que logró la RCE, lo que provocó de inmediato una atención generalizada sobre SMBGhost. 

Vale la pena señalar que SMBGhost puede ser utilizada en conjunto con otra vulnerabilidad que afecta al protocolo SMBv3. Por ejemplo, SMBleed, una vulnerabilidad parcheada en junio que según los investigadores de ZecOps, que fue quienes descubrieron este fallo, un cibercriminal que pueda combinar las dos vulnerabilidades podría lograr la ejecución remota de código previo a la autenticación.

Cómo proteger Windows de SMBGhost

La mejor forma de protegernos de esta grave vulnerabilidad es descargar manualmente los parches de seguridad, disponibles para Windows 10 1903 y 1909 (2004 ya viene de serie protegido), e instalarlos en nuestro equipo.

Además, hay otras formas de proteger nuestro ordenador de esta grave vulnerabilidad. La primera de ellas es deshabilitar la compresión de SMBv3 manualmente ejecutando el siguiente comando en una ventana de PowerShell con permisos de administrador:

Set-ItemProperty -Path «HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters» DisableCompression -Type DWORD -Value 1 -Force

O si lo preferimos, podemos editar el registro manualmente (que a efectos es lo mismo). Lo que debemos hacer es ir al directorio HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > LanmanServer > Parameters y crear un nuevo valor DWORD de 32 bits, llamado «DisableCompression» con el valor «1».

Por último, también podemos bloquear en el firewall de Windows los puertos utilizados por SMB de cara a Internet. El puerto por defecto que debemos bloquear es 445, aunque si lo hemos cambiado tendremos que modificarlo nosotros mismos. Si optamos por esta opción, nuestro PC quedará bloqueado de posibles ataques desde Internet y SMB seguirá funcionando en LAN. Aunque eso no nos protegerá de posibles ataques desde dentro de la propia red.