La falta de mantenimiento o actualizaciones de seguridad es una de las principales causas de ataques en sistemas operativos como Windows. En una de sus publicaciones más recientes, Microsoft ha solicitado encarecidamente a los administradores de sistemas inhabilitar el protocolo de comunicación de red SMBv1 en los servidores Exchange, como una forma de protegerse contra el despliegue de algunos ataques de malware y otras amenazas de ciberseguridad.
La causa principal de esta recomendación es que SMBv1 no cuenta con las medidas de seguridad adicionales que fueron agregadas a las versiones posteriores del protocolo. Acorde a especialistas en ciberseguridad, SMBv1 carece de cifrado, mecanismos comprobantes de integridad, bloqueo de autenticación de usuarios invitados, entre otras protecciones.
En su mensaje, el equipo a cargo de Exchange menciona que es necesario inhabilitar el protocolo para proteger los servidores de algunas de las amenazas más comunes: “Recomendamos inhabilitar SMBv1 para mantener su organización a salvo de amenazas como Emotet, WannaCry, TrickBot, entre otras; no hay necesidad de ejecutar este protocolo (de casi 30 años de antigüedad) si Exchange 2013/2016/2019 está instalado en su sistema”, mencionan.
Múltiples reportes afirman que, en 2017, la Agencia de Seguridad Nacional de E.U. (NSA) desarrolló diversos exploits que abusaban del protocolo SMBv1, lo que contribuyó al ataque masivo de esta implementación. Entre las vulnerabilidades más explotadas en este protocolo se encuentran EternalBlue y EternalRomance. Además, estos exploits se emplearon para infectar las implementaciones de Exchange con múltiples variantes de malware como Emotet, WannaCry, Retefe, NotPetya, Olympic Destroyer, entre otras, extendiéndose a muchas otras máquinas para cifrar o destruir archivos y robar credenciales de inicio de sesión.
A partir de Windows 10 1709 y Windows Server 1709 El protocolo dejó de estar instalado por defecto, por lo que las versiones más recientes de los sistemas operativos Windows emplean SMBv3. Los usuarios preocupados pueden verificar si SMBv1 está habilitado en un sistema ejecutando los siguientes comandos PowerShell en diferentes versiones de Windows Server:
- Windows Server 2008 R2: SMBv1 está habilitado en esta versión de Windows Server. Por lo tanto, si el siguiente comando no devuelve un valor SMB1 o un valor SMB1 de 1, el protocolo está habilitado. Si devuelve un valor SMB1 de 0, está deshabilitado.
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
ForEach-Object {Get-ItemProperty $_.pspath}
- Windows Server 2012: si el comando devuelve un falso, SMBv1 no está habilitado.
Get-SmbServerConfiguration | Select EnableSMB1Protocol
- Windows Server 2012 R2 o posteriores: Si el commando devuelve un falso, SMBv1 no está habilitado.
(Get-WindowsFeature FS-SMB1).Installed
Get-SmbServerConfiguration | Select EnableSMB1Protocol
En caso de que SMBv1 está habilitado en su servidor, puede inhabilitarlo usando los siguientes comandos.
- En Windows Server 2008 R2:
Set-ItemProperty –Path
“HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” -Name SMB1 -Type DWORD -Value 0 –Force
- En Windows Server 2012:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -force
- En Windows Server 2012 R2 o posteriores:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.