Server Message Block (SMB): Introducción
Server Message Block o mejor conocido por sus siglas en inglés SMB (puerto por defecto 445), es uno de los protocolos de comunicación utilizado en todo el mundo, teniendo como principal destino su uso para proporcionar un acceso compartido a archivos o equipos impresión que se encuentran conectados dentro de una misma red, proporcionando además una capa de seguridad para la comunicación entre procesos.
Con el aumento y popularidad del uso del protocolo SMB, el mismo se ha convertido en un punto focal para los ciber atacantes u actores de amenaza. Entre los riegos a los que puede estar expuesto un servidor que se encuentre ejecutando el servicio, se encuentran: el acceso no autorizado, robo o perdida de información o el incluso compromiso total del servidor.
SMB: Estadísticas
El equipo de seguridad de ShadowServer ha reportado recientemente que cerca de 982 mil de servidores SMB se encuentran expuestos a la internet. En el reporte se realiza como resultado del escaneo en internet con fines de identificar cuales servidores SMB se encuentran visibles.
Entre los países con más servidores SMB expuestos se encuentran los siguientes:
- Estados Unidos con 271.6k
- Rusia con 99.4k
- Alemania con 71k
- Francia con 51.3k
- China con 42.8k
En la República Dominicana hasta el 22 de mayo 2022 existen 453 servidores de SMB expuestos a Internet, de los cuales 95 de ellos cuentan con la versión 1.0. Esta versión actualmente descontinuada de las buenas prácticas, por el hecho de ser catalogado como un protocolo antiguo, ya que no cuenta con protección de autenticación previa, la implementación de un cifrado seguro o la desactivación de inicios de sesión de invitados no autorizados.
El protocolo SMBv1 es conocido por ser vulnerable al exploit EternalBlue, reconocido a nivel mundial por ser utilizado en 2007 en el compromiso y posterior despliegue del ransomware WannaCry.
SMB: Peligros de tener el servicio accesible desde internet
Una servidor que cuente con el servicio SMB accesible desde la internet está expuesto a intentos de ataque o compromiso, que pueden llegar resultar pasivos o intrusivos como son:
Enumeración:
Los atacantes intentan identificar toda la información que pueda ser proporcionada por la exposición del servicio, para identificar versiones y/o datos de interés que le puedan servir para la puesta en marcha de un compromiso.
Fuerza Bruta:
Un atacante intenta de “adivinar” por método de prueba y error el nombre de usuario y las contraseñas de una cuenta para lograr obtener un acceso no autorizado al servicio. La mayoría de estos ataques utilizan aplicativos y scripts de código como herramientas de fuerza bruta.
Retransmisión SMB:
Aprovechar que en una comunicación entre cliente-servidor normal, existen una serie de solicitudes seguidas de respuestas, por lo que, si un actor logra posicionarse entre el cliente y el servidor, puede llegar capturar los paquetes de datos transmitidos entre las dos partes.
Explotación de vulnerabilidad:
Los ciber acatantes hacen uso de vulnerabilidades conocidas o desconocidas en el servicio de SMB que aprovechan una falla de seguridad en la arquitectura del protocolo. Este tipo de ataques pueden llegar a provocar desde denegación de servicio hasta una ejecución remota de comandos y lograr comprometer por completo un servidor.
SMB: ¿Como mitigar ataques?
Con el objetivo de poder mitigar los riesgos asociados a un compromiso a tráves del protocolo SMB, se recomienda aplicar las siguientes controles:
- Deshabilitar SMBv1
- Bloquear tráfico SMB de forma lateral o bidireccional de la red
- Mantener un procedimiento de actualización y parcheado rutinario del servicio SMB
- Utilizar contraseñas robustas
SMB: Conclusión
El riesgo de contar con un servicio SMB expuesta a internet es un riesgo que como administradores de tecnología o responsables de seguridad deberíamos conocer, aplicar los controles necesarios o el mejor de los casos tenerlo restringido solo a las direcciones IP con las que fuera a establecer comunicación es una decisión que todos deberíamos tomar, teniendo siempre como punto focal que el conocimiento del peligro y la aplicación de los controles necesarios, es el principio de un ecosistema de ciberseguridad resiliente.