Estamos más que acostumbrados a que Windows 10 presente más y más fallos con cada actualización. Pero ha habido casos en la historia en las que ataques cibernéticos han provocado mucho más caos que cualquiera de estos fallos. Todos recordamos casos como WannaCry, Cryptolocker o NotPetya. Ahora podría sucederse otra vez este mismo caso.
Se ha filtrado una nueva vulnerabilidad de carácter crítico en las versiones más recientes de Windows, tanto en Windows 10 como en Windows Server 2019. Una vulnerabilidad que por su propia naturaleza podría provocar problemas muy similares a los ya vividos con WannaCry.
¿Por qué? Porque la nueva vulnerabilidad CVE-2020-0796 afecta al protocolo SMBv3 como apunta Ars Technica en Windows 10 y Server 2019. Las versiones afectadas serían las 1903 y las 1909, es decir, las últimas correspondientes a las últimas grandes actualizaciones del sistema operativo de Microsoft.
Una vulnerabilidad crítica
Para empezar, ¿qué es el protoccolo SMBv3? Este protocolo integrado dentro de nuestro sistema sirve para compartir datos como archivos y otros recursos usando Internet. Una vez el software vulnerable recibe un paquete de datos comprimido con software malicioso, empieza la catástrofe.
Se sucede un desbordamiento de buffer y una vez hecho esto el atacante, de forma emota, puede ejecutar código de todo tipo en el equipo. Además, el atacante puede realizar este procedimiento desde una estación de trabajo o desde un servidor. De explotarse esta vulnerabilidad, hablaríamos de ciberataques con un impacto muy similar a los que provocaron malwares anteriores como WannaCry.
Microsoft no ha hecho nada... aún
Lo lógico sería pensar que ante tal vulnerabilidad Microsoft actuaría de forma rápida. Por ahora no es así; Microsoft, a día de escribir estas palabras, no tiene un parche disponible para este problema. Además, la firma de Redmond tampoco ha puesto una fecha sobre cuándo tiene planteado lanzarlo.
Existe un motivo para todo esto. Esta vulnerabilidad se ha filtrado, ya que no era de carácter público. Microsoft sí que difundió el resumen de esta vulnerabilidad, pero no se incluyó el parche en la actualización de seguridad mensual. Gracias a este resumen no se puede explotar del "todo" la vulnerabilidad.
Decimos "del todo" por una buena razón. En caso de descubrirla, un hacker no podría usar CVE-2020-0796 para realizar ataques. No obstante, sí que su descubrimiento podría conseguir que ellos intenten encontrar el agujero de seguridad. Es lógico pensar que en el mismo momento en el que CVE-2020-0796 sea descubierta por los hackers Microsoft se apresure a parchearla.
Por ahora, Microsoft ha recomendado tomar 2 acciones preventivas para no recibir ataques. La primera es bloquear el puerto 445, el que se usa para enviar tráfico SMB. No obstante el rendimiento de los dispositivos conectados podría sufrir este cambio.
El segundo es usar un comando PowerShell para deshabilitar la compresión SMBv3 para proteger los servidores. He aquí el código:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Hay que aclarar, como apunta Ars Technica, que este código no será suficiente; si los equipos se conectan a un servicio SMB malicioso seguirán estando en riesgo, pero con estas medidas el ataque no es transmitible. De ahí que se recomiende cerrar el puerto 445, el cuál es usado para enviar tráfico SMB entre dispositivos.