Este fallo de seguridad puede permitir a cualquier atacante bloquear cualquier servidor remoto con el protocolo SMBv1 habilitado utilizando tan solo un simple script de 20 líneas y un Raspberry Pi. Para poder bloquear el servidor remoto es necesario iniciar un gran número de conexiones contra él, sin embargo, son conexiones muy fáciles de crear y mantener, por lo que utilizando un simple dispositivo con el RPi es posible llevar a cabo el ataque informático sin demasiada dificultad.
Cómo funciona SMBloris
Sean Dillon fue uno de los primeros expertos de seguridad en analizar en profundidad el funcionamiento de EternalBlue, la vulnerabilidad de la NSA que, tras filtrarse, dio lugar a WannaCry y otros ataques informáticos. Durante su estudio pudo observar un patrón en la memoria que se reservaba al utilizar la vulnerabilidad.
Si se forzaba al protocolo a establecer un gran número de conexiones, conexiones que para el cliente (el atacante) no suponen prácticamente nada de recursos es posible tumbar cualquier gran servidor al dejarlo sin memoria disponible. Según el experto de seguridad, un simple Raspberry Pi es capaz de tumbar servidores de hasta 128 GB de memoria RAM.
Para Microsoft no es un fallo importante, y no lo va a solucionar
El experto de seguridad reportó el fallo en privado a Microsoft para intentar que la compañía lo solucionase cuanto antes y evitar así nuevos problemas. Sin embargo, Microsoft respondió asegurando que no se trata de un fallo de seguridad tan grave como para lanzar una actualización de seguridad.
Lo único que ha hecho Microsoft es recomendar a las empresas que deshabiliten el acceso SMBv1 desde Internet para protegerse del fallo de seguridad.
Aunque para Microsoft el fallo de seguridad es solo “moderado”, si lo pensamos bien en realidad es bastante más grave ya que nos puede permitir realizar un ataque DDoS contra cualquier servidor Windows y dejarlo sin servicio sin necesidad de utilizar una botnet.
Está claro que no son buenos tiempos para el protocolo SMB ni para la seguridad de Windows. Microsoft aún mantiene estos protocolos por motivos de seguridad, pero en ocasiones la compañía debería pensar si de verdad merece la pena mantener la compatibilidad con algo que tiene más de 20 años (existiendo, además, alternativas más modernas) o acabar drásticamente con estos fallos de seguridad y hacer de todo el ecosistema Windows algo más seguro.
¿Qué opinas del nuevo fallo de seguridad SMBloris?
Fuente: www.redeszone.net