Deshabilitar el protocolo SMB v1 ¿por qué no es tan fácil?

Otra vez estamos bajo un “ciberataque” (que conste que lo de ciberataque me parece una exageración; no es más que un brote de malware); esta vez con otro malware de tipo Ransomware. Y otra vez todo el mundo pone el foco en sistemas Windows que no estén actualizados con las últimas actualizaciones que Microsoft publica periódicamente.

smb

Sin embargo, en este caso (también con el anterior brote de WannaCry), se hacía mención del protocolo de comunicación SMB en su versión 1. Microsoft, además, recomendaba eliminar (o deshabilitar) la versión 1 de este protocolo de todos los equipos y servidores.

Merece la pena mencionar que esta versión tiene publicada una vulnerabilidad que los creadores de malware pueden aprovechar para atacar a los equipos de la misma red local donde se encuentra el equipo infectado inicialmente. Y, lo más importante, todas las versiones de Windows tienen habilitado este protocolo por defecto. Esto, en la práctica, lo que quiere decir es que un equipo infectado buscará en la red equipos que tengan activo SMB v1 y lo infectarán encriptando todos los archivos. Dicho en el sentido opuesto: si un equipo se infecta, no podrá propagarse por la red local si todos los equipos y servidores tienen desactivado SMB v1.

Dicho esto, la solución parece fácil: vamos a quitar el protocolo SMB v1. Pero… ¡siempre hay un pero!

En una red informática, habitualmente, no solo acceden al servidor los PCs o portátiles; hay otros dispositivos que deben interactuar con el servidor: por ejemplo, equipos multifunción que escanean documentos y los envían a alguna carpeta del servidor. Y el problema aparece cuando se comprueba que al deshabilitar el protocolo SMB v1, la multifunción deja de poder enviar documentos.

Si el equipo multifunción no admite otra versión del protocolo SMB (v2 o v3) no se podrá deshabilitar. Por ello es muy importante ponerse en contacto con el fabricante del equipo en cuestión y comprobar si existe algún tipo de actualización del firmware, y si esta, tiene opción para utilizar una versión actual de SMB.

En cualquier caso, os dejo un enlace donde se explica muy bien cómo deshabilitar el protocolo SMB v1 (sólo para técnicos).

De todas formas, será con esta u otra vulnerabilidad del sistema, pero sólo es cuestión de tiempo que caigamos en la trampa. Así que, por favor, ten siempre copias de seguridad (si es posible desconectadas, tipo Cloud Backup y similares).

Espero os sirva de ayuda.

Anuncios

Cómo impedir la propagación de WannaCry (Ransomware)

El viernes pasado comenzaron a conocerse noticias preocupantes sobre la propagación de un malware del tipo ransomware. En concreto en este caso se trata de una variante de Wanna Decryptor. Este tipo de malware, como otros ransomware, secuestra los archivos del equipo infectado pidiendo un rescate en bitcoins.hackced

Creo que todos estáis al tanto de la noticia, por lo que no me extenderé. Simplemente mencionaré un punto que creo importante: este malware es especialmente maligno porque se propaga a través de la red local aprovechando una vulnerabilidad de los sistemas operativos Windows que no estén actualizados. Y esta es la clave “… que no estén actualizados”

Nota: si queréis leer algo razonable al respecto os dejo un enlace (ya sabéis que los periodistas – con todo el respeto- algunas veces dicen cosas un poco… ejem… ¡poco rigurosas!)

El equipo por el que entra la infección está perdido; los archivos están encriptados y no se pueden recuperar. Como con cualquier infección de tipo ransomware, hay que desconectarlo cuanto antes, formatearlo y reinstalar. El problema es que puede infectar otros equipos de la red de forma muy sencilla. Por eso es absolutamente imprescindible tener “parcheados” los sistemas operativos. Es importantísimo que los usuarios se conciencien que deben actualizar el sistema; un consejo de amigo: cuando el sistema avise de que hay actualizaciones importantes en el sistema NO lo dejéis para otro día.

Si los sistemas hubieran estado parcheados no se hubiera propagado de esta forma tan espectacular

Normalmente los sistemas operativos advierten al usuario de que hay actualizaciones importantes (o críticas) pendientes de instalar. Pero, en cualquier caso, el usuario debe (o debería) hacer una búsqueda “manual” de actualizaciones. ¿Cómo hacer esto? Muy sencillo:

Lo más rápido es hacer clic en el botón Windows (o pulsar la tecla Windows) y escribir directamente “Windows Update”.

En Windows 7, algo parecido a esto:

windows update - buscar (W7)

Una vez abierto, simplemente debemos pulsar “Buscar Actualizaciones” y finalmente instalar las que nos proponga el propio sistema operativo:

windows update - buscar (W7-1)


En Windows 10, el proceso es algo distinto pero igual de sencillo:

windows update - buscar (W10)

Una vez abierta la pantalla de configuración deberemos pulsar sobre el botón “Buscar actualizaciones”.

windows update - buscar (W10-1)

 

Por tanto, y en definitiva:

  • Siempre que el sistema advierta que hay actualizaciones, hay que instalarlas. Es cierto que algunas veces estas actualizaciones provocan algún que otro problema, pero es mucho peor no hacerlo.
  • Periódicamente, como mínimo una vez al mes, el usuario debería entrar en Windows Update y hacer una búsqueda “manual”
  • Siempre, siempre, siempre… hay que tener copias de seguridad actualizadas y desconectadas. Un malware de este tipo puede infectar también las copias de seguridad en discos duros externos y similares. Por favor, evaluad la posibilidad contratar un servicio de copias de seguridad en la nube.
  • Y  lo más importante… ¡el sentido común!: no se deben abrir correos sospechosos, no se debe navegar en páginas web que no sean estrictamente necesarias para el desempeño del trabajo.

Espero os sirva de ayuda.