Deshabilitar el protocolo SMB v1 ¿por qué no es tan fácil?

Otra vez estamos bajo un “ciberataque” (que conste que lo de ciberataque me parece una exageración; no es más que un brote de malware); esta vez con otro malware de tipo Ransomware. Y otra vez todo el mundo pone el foco en sistemas Windows que no estén actualizados con las últimas actualizaciones que Microsoft publica periódicamente.

smb

Sin embargo, en este caso (también con el anterior brote de WannaCry), se hacía mención del protocolo de comunicación SMB en su versión 1. Microsoft, además, recomendaba eliminar (o deshabilitar) la versión 1 de este protocolo de todos los equipos y servidores.

Merece la pena mencionar que esta versión tiene publicada una vulnerabilidad que los creadores de malware pueden aprovechar para atacar a los equipos de la misma red local donde se encuentra el equipo infectado inicialmente. Y, lo más importante, todas las versiones de Windows tienen habilitado este protocolo por defecto. Esto, en la práctica, lo que quiere decir es que un equipo infectado buscará en la red equipos que tengan activo SMB v1 y lo infectarán encriptando todos los archivos. Dicho en el sentido opuesto: si un equipo se infecta, no podrá propagarse por la red local si todos los equipos y servidores tienen desactivado SMB v1.

Dicho esto, la solución parece fácil: vamos a quitar el protocolo SMB v1. Pero… ¡siempre hay un pero!

En una red informática, habitualmente, no solo acceden al servidor los PCs o portátiles; hay otros dispositivos que deben interactuar con el servidor: por ejemplo, equipos multifunción que escanean documentos y los envían a alguna carpeta del servidor. Y el problema aparece cuando se comprueba que al deshabilitar el protocolo SMB v1, la multifunción deja de poder enviar documentos.

Si el equipo multifunción no admite otra versión del protocolo SMB (v2 o v3) no se podrá deshabilitar. Por ello es muy importante ponerse en contacto con el fabricante del equipo en cuestión y comprobar si existe algún tipo de actualización del firmware, y si esta, tiene opción para utilizar una versión actual de SMB.

En cualquier caso, os dejo un enlace donde se explica muy bien cómo deshabilitar el protocolo SMB v1 (sólo para técnicos).

De todas formas, será con esta u otra vulnerabilidad del sistema, pero sólo es cuestión de tiempo que caigamos en la trampa. Así que, por favor, ten siempre copias de seguridad (si es posible desconectadas, tipo Cloud Backup y similares).

Espero os sirva de ayuda.

Anuncios

Cómo impedir la propagación de WannaCry (Ransomware)

El viernes pasado comenzaron a conocerse noticias preocupantes sobre la propagación de un malware del tipo ransomware. En concreto en este caso se trata de una variante de Wanna Decryptor. Este tipo de malware, como otros ransomware, secuestra los archivos del equipo infectado pidiendo un rescate en bitcoins.hackced

Creo que todos estáis al tanto de la noticia, por lo que no me extenderé. Simplemente mencionaré un punto que creo importante: este malware es especialmente maligno porque se propaga a través de la red local aprovechando una vulnerabilidad de los sistemas operativos Windows que no estén actualizados. Y esta es la clave “… que no estén actualizados”

Nota: si queréis leer algo razonable al respecto os dejo un enlace (ya sabéis que los periodistas – con todo el respeto- algunas veces dicen cosas un poco… ejem… ¡poco rigurosas!)

El equipo por el que entra la infección está perdido; los archivos están encriptados y no se pueden recuperar. Como con cualquier infección de tipo ransomware, hay que desconectarlo cuanto antes, formatearlo y reinstalar. El problema es que puede infectar otros equipos de la red de forma muy sencilla. Por eso es absolutamente imprescindible tener “parcheados” los sistemas operativos. Es importantísimo que los usuarios se conciencien que deben actualizar el sistema; un consejo de amigo: cuando el sistema avise de que hay actualizaciones importantes en el sistema NO lo dejéis para otro día.

Si los sistemas hubieran estado parcheados no se hubiera propagado de esta forma tan espectacular

Normalmente los sistemas operativos advierten al usuario de que hay actualizaciones importantes (o críticas) pendientes de instalar. Pero, en cualquier caso, el usuario debe (o debería) hacer una búsqueda “manual” de actualizaciones. ¿Cómo hacer esto? Muy sencillo:

Lo más rápido es hacer clic en el botón Windows (o pulsar la tecla Windows) y escribir directamente “Windows Update”.

En Windows 7, algo parecido a esto:

windows update - buscar (W7)

Una vez abierto, simplemente debemos pulsar “Buscar Actualizaciones” y finalmente instalar las que nos proponga el propio sistema operativo:

windows update - buscar (W7-1)


En Windows 10, el proceso es algo distinto pero igual de sencillo:

windows update - buscar (W10)

Una vez abierta la pantalla de configuración deberemos pulsar sobre el botón “Buscar actualizaciones”.

windows update - buscar (W10-1)

 

Por tanto, y en definitiva:

  • Siempre que el sistema advierta que hay actualizaciones, hay que instalarlas. Es cierto que algunas veces estas actualizaciones provocan algún que otro problema, pero es mucho peor no hacerlo.
  • Periódicamente, como mínimo una vez al mes, el usuario debería entrar en Windows Update y hacer una búsqueda “manual”
  • Siempre, siempre, siempre… hay que tener copias de seguridad actualizadas y desconectadas. Un malware de este tipo puede infectar también las copias de seguridad en discos duros externos y similares. Por favor, evaluad la posibilidad contratar un servicio de copias de seguridad en la nube.
  • Y  lo más importante… ¡el sentido común!: no se deben abrir correos sospechosos, no se debe navegar en páginas web que no sean estrictamente necesarias para el desempeño del trabajo.

Espero os sirva de ayuda.

 

 

Cómo deshabilitar Flash en el navegador (Chrome, Internet Explorer y FireFox)

No hay mucho que explicar: hay que deshabilitar Flash en el navegador. Es el principal vector de ataque para la brecha de seguridad en Windows más reciente y que los hackers están utilizando masivamente desde ya.

vulnerabilidad-critica-flash-player

Si eres usuario de Windows 10 y solo utilizas Edge, no es necesario deshabilitar nada, pero si utilizas, aunque sea puntualmente, otro navegador deberías seguir este consejo.  Esto, en la práctica, significa que todo el mundo debería seguir estos pasos y con carácter inmediato. Microsoft está preparando un parche que se publicará probablemente el 8 de noviembre. Mientras tanto te aconsejo que hagas lo siguiente para desactivar Flash en tu navegador favorito:

Internet Explorer

  • Haz clic en el icono de configuración (rueda dentada de la zona superior derecha) y selecciona Administrar complementos.
  • Busca el complemente “Shockwave Flash Object
  • Selecciónalo y haz clic en el botón Deshabilitar

Chrome

  • En la barra de direcciones escribe chrome://plugins
  • Busca Adobe Flash Player y pulsa en Deshabilitar

FireFox

  • En la barra de direcciones escribe about:addons
  • Selecciona el icono de complementos en el menú
  • Busca Shockwave Flash y cambia a “Nunca activar”

Si utilizas otro navegador, busca la información en Google de cómo desactivar o deshabilitar Flash… la encontrarás fácilmente.

Nota: arriba indico que Microsoft está preparando un parche de seguridad para publicarlo en breve. Pues bien, te aconsejo que no vuelvas a activar Flash aunque se instale dicho parche.

Espero os sirva de ayuda.