Proteger los servicios Windows SMB y NetBios/NetBT

¿Qué es el servicio SMB de Windows?

El protocolo SMB (en inglés, Server Message Block) es un protocolo para compartir archivos que se ejecuta en el puerto 445. Está implementado en Microsoft Windows Server como el servicio Microsoft SMB. El protocolo Microsoft SMB está instalado por defecto en Microsoft Windows Server. El protocolo SMBv2 fue introducido en Windows Vista y en Windows Server 2008, sin embargo, SMBv1 todavía existe en sistemas operativos con SMBv2. El protocolo SMBv3 fue introducido en Windows 8 y Windows Server 2012 con una función de cifrado SMB, pero no está configurada por defecto.


¿Qué es el servicio NetBios/NetBT de Windows?

NetBIOS fue un protocolo famoso desarrollado entre IBM y Sytek para redes entre computadoras en los años 80. La implementación de Microsoft de NetBIOS sobre TCP/IP (NetBT) provee la interfaz de programación de NetBIOS sobre el protocolo TCP/IP, extendiendo el alcance del cliente NetBIOS y los programas de servidores a las redes TCP/IP y proveyendo interoperabilidad con otros sistemas operativos.

Utiliza los siguientes puertos TCP y UDP:
- Puerto 137 UDP (servicio de nombres)
- Puerto 138 UDP (servicio de datagramas)
- Puerto 139 TCP (servicio de sesión)

NetBIOS sobre TCP/IP (NetBT) está instalado y habilitado por defecto para compatibilidad retroactiva con sistemas operativos antiguos (o implementaciones SMB); sin embargo, el Protocolo SMB de Microsoft puede ser utilizado sin Microsoft NetBIOS.


Vulnerabilidades:

Desde que los servicios SMB y NetBios/NetBT se encuentran habilitados por defecto, intrusos maliciosos pueden ser capaces de consultar estos servicios para obtener información sobre el servidor o brechas de seguridad, si éstas existen.
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

El servicio NetBios/NetBT también puede ser vulnerado para ejecutar ataques de amplificación:
https://www.us-cert.gov/ncas/alerts/TA14-017A


¿Cómo verificar si su servidor/dispositivo es vulnerable?

Utilice el siguiente comando para obtener la información sobre su sistema vía el servicio SMB:

# nmap --script smb-os-discovery.nse -p445 <IP-del-servidor>

Ejemplo de salida:

PORT STATE SERVICE
445/tcp open microsoft-ds

Host script results:
| smb-os-discovery:
| OS: Windows Server xxxx
| OS CPE: cpe:/o:microsoft:windows_server_xxxx::-
| Computer name: xx-xxxxxxxxxxxx
| NetBIOS computer name: xx-xxxxxxxxxxxx
| Workgroup: WorkGroup
|_ System time: xxxx-xx-xx


Utilice el siguiente comando para obtener información sobre su sistema a través del servicio NetBios/NetBT:

Desde ordenadores con Windows (cmd):
# nbtstat -A <IP-del-servidor>

Desde ordenadores con Linux (terminal):
# nmblookup -S -R -A <IP-del-servidor>

Ejemplo de salida:
[...]
Looking up status of <IP-del-servidor>
XX-XXXXXXXXXXXX <00> - B <ACTIVE>
WORKGROUP <00> - <GROUP> B <ACTIVE>
XX-XXXXXXXXXXXX <20> - B <ACTIVE>
MAC Address = XX-XX-XX-XX-XX-XX


Si el comando retorna “tiempo agotado” (time-out), los servicios podrían ya estar filtrados/desactivados.
Los servicios de cartografía de Internet (tales como www.shodan.io) también pueden ser utilizados para buscar información sobre lo servicios disponibles en su dirección IP (tales como “SMB Version: 1”).

Solución:

Los servicios SMB y NetBios/NetBT están diseñados para ser consultados por clientes de confianza dentro de ambientes seguros. Esto significa que usualmente no es buena idea exponer estos servicios directamente en Internet o en general, en un ambiente donde clientes no confiables puedan acceder a dichos servicios.

Diversas opciones están disponibles para resolver este problema y proteger su servidor/dispositivo:

- Desactive los servicios Microsoft NetBios/NetBT y Microsoft SMB si no los utiliza. Esta es la solución más simple y la más eficaz.
- Utilice su cortafuegos (firewall) para filtrar las conexiones entrantes a los servicios SMB y NetBios/NetBT y solamente autorice las direcciones IP y los dispositivos de confianza.

Adicionalmente a las sugerencias arriba mencionadas, usted debería instalar las actualizaciones de seguridad de su Sistema Operativo tan pronto como sea posible y asegurarse que SMBv1 no se encuentra en uso.

Referencias externas:

https://msdn.microsoft.com/en-us/library/windows/desktop/aa365233(v=vs.85).aspx
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows-server
https://support.microsoft.com/en-us/help/2709568/new-smb-3.0-features-in-the-windows-server-2012-file-server
https://technet.microsoft.com/en-us/library/dn551363(v=ws.11).aspx
https://technet.microsoft.com/en-us/library/cc940063.aspx
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
https://www.shadowserver.org/wiki/pmwiki.php/Services/Accessible-SMB

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk