Las vulnerabilidades y fallos que existen en muchos dispositivos y herramientas que utilizamos pueden poner en riesgo la seguridad y privacidad de los usuarios. Es muy común que nos encontremos con este tipo de problemas en nuestro día a día. Hoy nos hacemos eco de SMBleed, una nueva vulnerabilidad crítica que afecta al protocolo SMB de Windows. Vamos a explicar en qué consiste.
SMBleed, el nuevo fallo crítico del protocolo SMB
Un grupo de investigadores de seguridad ha detectado una nueva vulnerabilidad crítica que afecta al protocolo SMB de Windows. Como sabemos se trata de un protocolo del sistema operativo de Microsoft que permite compartir archivos o impresoras, a través de una red de equipos que utilizan el sistema operativo de Microsoft Windows. Se ejecuta sobre el puerto TCP 445.
Ha habido muchos exploits que se aprovechan de vulnerabilidades en este protocolo. Por ejemplo EternalBlue, uno de los más conocidos y que fue utilizado para colar el ransomware WannaCry, era un fallo presente en el protocolo SMB.
En este caso SMBleed podría permitir a los atacantes leer la memoria del núcleo de forma remota, y cuando se combina con un error explotable previamente divulgado, el fallo puede ser explotado para lograr ataques de ejecución código remoto.
Esta vulnerabilidad crítica denominada SMBleed ha sido registrada como CVE-2020-1206 por la empresa de seguridad informática ZecOps. Según indican el error reside en la función de descompresión de SMB (Srv2DecompressData), algo similar a lo que ocurría con el error SMBGhost o EternalDarkness. Como sabemos pueden permitir ataques en sistemas Windows vulnerables y propagarse a través de la red.
Vulnerabilidad resuelta con parches
Hay que tener en cuenta que este fallo crítico de seguridad que mencionamos afecta a las versiones 1903 y 1909 de Windows 10. Para ambas ya ha lanzado parche Microsoft. Es muy importante que siempre contemos con las últimas versiones y con todos los parches que puedan salir. No solo hablamos del propio sistema operativo, sino también de cualquier otra herramienta que utilicemos. En muchas ocasiones surgen vulnerabilidades que son resueltas de esta forma.
El problema es que muchos sistemas siguen sin parchear y ahí es donde se aprovechan los ciberdelincuentes. Buscan equipos en la red que no cuenten con las actualizaciones necesarias y por tanto pueden ser explotados.
Microsoft lanzó un aviso donde indica que un atacante que explotara con éxito la vulnerabilidad podría obtener información para comprometer aún más el sistema del usuario. Para explotar la vulnerabilidad contra un servidor, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 específico.
Para aprovechar la vulnerabilidad contra un cliente, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte a él.
Por suerte evitar el problema es muy sencillo. Nuestro consejo es que tanto usuarios domésticos como empresas actualicen sus equipos y tengan siempre los últimos parches instalados. En caso de que esto no fuera posible por algún motivo, lo que podríamos hacer es bloquear el puerto 445.