viernes, 16 de junio de 2017

Las infecciones a gran escala siempre dan de qué hablar y dejan a su paso un reguero de noticias y consecuencias para los productos software. En esta ocasión, la infección de WannaCry permitió comprobar que los equipos que hacen de los servicios SMB no están configurados de forma correcta. De acuerdo a un estudio realizado, muchos permiten acceder a los archivos utilizando cuentas de invitado, algo que no es muy recomendable.

Los investigadores han determinado que existen cerca de dos millones de dispositivos que están conectados a Internet con los servicios SMB activos, y por lo tanto, los puertos abiertos. De esta cifra que acabamos de mencionar, aproximadamente el 42% ofrece la posibilidad de acceder al dispositivo utilizando cuentas de invitado. Esto quiere decir que cualquier usuario podrá acceder al contenido de las carpetas compartidas a través del servicio SMB.

Hablando de nuevo de la amenaza WannaCry, hay que decir que esta no necesita de una cuenta de invitado, sino que gracias a scripts más o menos complejos, se puede acceder al contenido sin la autorización del propietario del equipo. Lo que sí es cierto, es que el equipo ofrece acceso de invitado, los scripts necesarios son mucho menos complejos.

Pero hay un aspecto mucho más preocupante. Por una vez, los sistemas Windows no son los que peor parados salen, al menos en este estudio.

El 90% de los equipos afectados ejecutan Samba

Para todos aquellos que no sepan de qué estamos hablando, hacemos referencia a una aplicación que está disponible para sistemas operativos Windows y que permite acceder a servicios SMB a dispositivos con alguna versión de sistema operativo de los de Redmond. Expertos en seguridad han determinado que son muchos los equipos que están afectados por una cuenta de invitado no segura, permitiendo el acceso no autorizado de una forma sencilla.

Lo que realmente parece sorprendente es que, por defecto, tanto Samba como la aplicación nativa de Windows, poseen por defecto desactivado este acceso. Esto quiere decir que el acceso de invitado se activa a posteriori y de forma intencionada.

SMBv1 disponible en muchos dispositivos

De los dos millones de dispositivos que tienen abiertos los puertos del servicio SMB, la inmensa mayoría soportan la primera versión de este protocolo. Se trata de una versión insegura que aporta importantes problemas de seguridad. Se trata de una versión que está descatalogada, y, sin embargo, aún hay equipos que hacen uso de ella.

Sin ir más lejos, desde Microsoft ya han anunciado que van a tomar medidas, procediendo con la desactivación de esta versión comenzando este mismo verano.

Pero no todo es negativo, ya que de este porcentaje que aún son compatibles con SMBv1, la inmensa mayoría ya han recibido la actualización de Microsoft que mitiga los problemas.

Al final, tal y como sucede en este tipo de situaciones, la mejor opción es proceder con las actualizaciones publicadas para minimizar los problemas existentes o resolverlos.

En este caso, existe otro problema añadido, y es la mala configuración del servicio, algo que, como hemos visto, afecta sobre todo a Linux.



Via: www.redeszone.net