SMBloris, la vulnerabilidad de SMBv1 que Microsoft no solucionará

Escrito por Rubén Velasco

Desde luego, el protocolo SMBv1 no está pasando sus mejores días, y la cosa no parece que vaya ir a mejor. Este antiguo y obsoleto protocolo es el responsable de graves fallos de seguridad en Windows, como el que hizo posible la distribución del ransomware WannaCry que puso en peligro a prácticamente todo Internet a pesar de que Microsoft ya había solucionado el fallo meses atrás. Ahora, un nuevo fallo de seguridad encontrado en este protocolo vuelve a poner en peligro a los usuarios, un fallo que ha sido denominado como SMBloris.

SMBloris (ha recibido este nombre por su similitud con Slowloris) es un nuevo fallo de seguridad del protocolo SMBv1 que lleva presente en dicho protocolo más de 20 años pero que ha pasado desapercibido hasta ahora que un grupo de investigadores de seguridad, finalmente, lo ha hecho público durante una charla de seguridad que ha tenido lugar en la DEFCON.

Este fallo de seguridad puede permitir a cualquier atacante bloquear cualquier servidor remoto con el protocolo SMBv1 habilitado utilizando tan solo un simple script de 20 líneas y un Raspberry Pi. Para poder bloquear el servidor remoto es necesario iniciar un gran número de conexiones contra él, sin embargo, son conexiones muy fáciles de crear y mantener, por lo que utilizando un simple dispositivo con el RPi es posible llevar a cabo el ataque informático sin demasiada dificultad.

Cómo funciona SMBloris

Sean Dillon fue uno de los primeros expertos de seguridad en analizar en profundidad el funcionamiento de EternalBlue, la vulnerabilidad de la NSA que, tras filtrarse, dio lugar a WannaCry y otros ataques informáticos. Durante su estudio pudo observar un patrón en la memoria que se reservaba al utilizar la vulnerabilidad.

Si se forzaba al protocolo a establecer un gran número de conexiones, conexiones que para el cliente (el atacante) no suponen prácticamente nada de recursos es posible tumbar cualquier gran servidor al dejarlo sin memoria disponible. Según el experto de seguridad, un simple Raspberry Pi es capaz de tumbar servidores de hasta 128 GB de memoria RAM.

Para Microsoft no es un fallo importante, y no lo va a solucionar

El experto de seguridad reportó el fallo en privado a Microsoft para intentar que la compañía lo solucionase cuanto antes y evitar así nuevos problemas. Sin embargo, Microsoft respondió asegurando que no se trata de un fallo de seguridad tan grave como para lanzar una actualización de seguridad.

Lo único que ha hecho Microsoft es recomendar a las empresas que deshabiliten el acceso SMBv1 desde Internet para protegerse del fallo de seguridad.

Aunque para Microsoft el fallo de seguridad es solo “moderado”, si lo pensamos bien en realidad es bastante más grave ya que nos puede permitir realizar un ataque DDoS contra cualquier servidor Windows y dejarlo sin servicio sin necesidad de utilizar una botnet.

Está claro que no son buenos tiempos para el protocolo SMB ni para la seguridad de Windows. Microsoft aún mantiene estos protocolos por motivos de seguridad, pero en ocasiones la compañía debería pensar si de verdad merece la pena mantener la compatibilidad con algo que tiene más de 20 años (existiendo, además, alternativas más modernas) o acabar drásticamente con estos fallos de seguridad y hacer de todo el ecosistema Windows algo más seguro.

¿Qué opinas del nuevo fallo de seguridad SMBloris?

Fuente > threatpost

Últimos análisis

Valoración RZ
10
Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7