Como sabrá, después de numerosos ataques de ransomware, Microsoft decidió desactivar SMBv1 de forma predeterminada en los sistemas operativos Windows.
Sin embargo, a pesar de lanzar un parche (MS17-010) para abordar esos ataques, parece queMicrosoft todavía defiendenousándolo.
Aún más confuso es que el parche vinculado anteriormente solo parece abordar el servidor SMBv1 y no el cliente:
Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Windows. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un atacante envía mensajes especialmente diseñados a un Microsoft Server Message Block 1.0 (SMBv1).servidor.
En mi caso, en mi máquina con Windows 10, necesitaría usar el cliente SMBv1 para acceder a un disco duro de red conectado a un módem/enrutador que solo admite SMBv1 y que está conectado directamente a Internet...
Suponiendo que el parche solucione las vulnerabilidades tanto del servidor SMBv1 como de los clientes, ¿por qué todavía se nos recomienda mantenernos alejados de SMBv1?
¿Realmente nos enfrentamos a algún riesgo grave al permitirlo después de parchearlo?
Respuesta1
El problema de seguridad con SMBv1 es un error dentro del diseño del protocolo, por lo que incluso si Microsoft ha encontrado una manera de bloquear elparticularataques encontrados hasta ahora, aún se pueden desarrollar nuevas variaciones que evadan el bloqueo.
Intentar seguir usando SMBv1 resultaría en un juego de Whack-a-mole contra los creadores de malware, lo que requeriría que todos busquen nuevos exploits y creen y apliquen parches rápidamente tan pronto como aparezcan. Mientras SMBv1 se utilice ampliamente, el flujo de nuevos exploits continuará.
Microsoft ya había anunciado el calendario de desuso de SMBv1 cuando el gusano WannaCry utilizó las debilidades de SMBv1 para extenderse como la pólvora. Entonces Microsoft decidió resolver el problema acelerando el programa de desuso: eso eliminaría por completo la causa raíz de las vulnerabilidades.
https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858
SMB1 no es seguro
Cuando utiliza SMB1, pierde las protecciones clave que ofrecen las versiones posteriores del protocolo SMB:
- Integridad de autenticación previa (SMB 3.1.1+). Protege contra ataques de degradación de seguridad.
- Negociación dialectal segura (SMB 3.0, 3.02). Protege contra ataques de degradación de seguridad.
- Cifrado (SMB 3.0+). Impide la inspección de datos en el cable, ataques MiTM. ¡En SMB 3.1.1, el rendimiento del cifrado es incluso mejor que el de la firma!
- Bloqueo de autenticación de invitados inseguro (SMB 3.0+ en Windows 10+). Protege contra ataques MiTM.
- Mejor firma de mensajes (SMB 2.02+). HMAC SHA-256 reemplaza a MD5 como algoritmo hash en SMB 2.02, SMB 2.1 y AES-CMAC lo reemplaza en SMB 3.0+. El rendimiento de firma aumenta en SMB2 y 3.
Lo desagradable es que no importa cómo proteja todas estas cosas, si sus clientes usan SMB1, entonces un intermediario puede decirle a su cliente queignora todo lo anterior. Todo lo que necesitan hacer es bloquear SMB2+ sobre sí mismos y responder al nombre o IP de su servidor. Su cliente felizmente se burlará de SMB1 y compartirá todos sus secretos más oscuros a menos que usted requiera cifrado en ese recurso compartido para evitar SMB1 en primer lugar. Esto no es teórico: lo hemos visto.
Esa cita está escrita por Ned Pyle, el propietario del protocolo SMB en Microsoft en el momento de escribir este artículo. Así que eso es lo más directo posible de la boca del caballo.