Conoce Atico34 - Solicita presupuesto
Ciberseguridad

SMBGHost: Una vulnerabilidad peligrosa para Windows 10

En este artículo vamos a hablaros de SMBGHost, una vulnerabilidad a la que los equipos que utilicen Windows 10 o Windows Server Core sin actualizar pueden estar todavía expuestos y cómo solucionarlo.

¿Qué es SMBGHost?

SMBGHost es una vulnerabilidad que afecta a algunas versiones de Windows 10 y Windows Server Core. Registrada en marzo de 2020 como CVE-2020-0796, recibió una puntuación de peligrosidad de 10 sobre 10, lo que ya demuestra el riesgo que supone para cualquier ordenador con un sistema operativo Windows 10 desactualizado.

SMBGHost permite al ciberdelincuente colarse en el equipo de su víctima y realizar acciones remotas, como por ejemplo robar información del equipo o instalar malware, especialmente algún tipo de ransomware con el que bloquear el acceso a los archivos del ordenador y pedir un rescate a cambio de desbloquearlos.

En ese sentido, SMBGHost es similar a los ataques llevados a cabo con el ransomware WannaCry, que aprovechaban también exploits similares en los sistemas que operaban con Windows.

¿A qué afecta la vulnerabilidad SMBGHost?

También llamado CoronaBlue, SMBGHost afecta al protocolo SMBv3 (Server Message Block); este protocolo es el que hace posible que podamos compartir archivos e impresoras en una red local a través de la creación de una carpeta de recursos compartidos.

Por lo tanto, SMBGHost es un exploit que aprovecha un agujero de seguridad presente en Windows 10, en concreto, en la funcionalidad que nos permite crear una carpeta de archivos compartidos, que muchas empresas usan tanto a nivel local como con sus trabajadores a distancia.

La buena noticia es que SMBGHost afecta solo a las versiones 1903 o 1909 de Windows 10 y que como vulnerabilidad, SMBGHost fue detectada en 2020, por lo que Microsoft ha tenido tiempo de sacar parches destinados a solucionarla.

¿Cómo funciona SMBGHost?

La vulnerabilidad SMBGHost permite al ciberdelincuente usar un paquete de datos creado específicamente para aprovechar el fallo de seguridad y ejecutarse en el servidor SMB central, desde el que puede pasar a ejecutar código aleatorio en el sistema. Es decir, gracias a este exploit, el ciberdelincuente puede ganar acceso y control sobre el PC comprometido y, como ya dijimos, espiar y robar información o lanzar e instalar cualquier tipo de malware en él.

Esta vulnerabilidad se filtró por error cuando Microsoft estaba trabajando precisamente en crear un parche experimental para proteger a los usuarios de Windows 10 de SMBGHost, pero los ciberdelincuentes no tardaron en aprovechar la filtración para atacar los equipos de miles de usuarios. Podemos ver varios post sobre SMBGHost en GitHub sobre este problema, incluido herramientas SMBGHost scanner para detectar la vulnerabilidad.

¿Cómo protegernos de SMBGHost?

Hasta el lanzamiento de la actualización de seguridad que sacó Microsoft para solucionar la vulnerabilidad SMBGHost, la única solución que había para protegerse de ella era deshabilitar el protocolo SMBv3 en el servidor y bloquear las conexiones al puerto 445 mediante el firewall de Windows, evitando así el acceso a las carpetas compartidas desde Internet.

Una vez Microsoft lanzó el parche para Windows 10, la solución es tan sencilla como actualizar el sistema operativo, sin necesidad de entrar en modo seguro de Windows 10 o llevar a cabo ninguna otra acción. Si tenéis configurado vuestro Windows 10 para que se actualice de forma automática, ni siquiera tendréis que buscar y descargar la actualización manualmente.

Lo que sí sería recomendable es escanear el equipo en busca de malware que pudiera haberse instalado mientras la vulnerabilidad estaba operativa.

Además, puesto que en muchas ocasiones se emplean estas vulnerabilidades para realizar ataques de ransomware, para minimizar las consecuencias tanto de unas como de los otros, tanto a nivel particular como a nivel de empresa, se recomienda realizar copias de seguridad periódicas de los archivos del ordenador, de esa manera, aunque nos bloqueen el acceso a nuestros archivos o a nuestro equipo, podremos recuperar los archivos borrados o secuestrados por los ciberdelincuentes.

Averigua qué versión de Windows 10 o Windows Server Core tienes instalada

Como hemos dicho, SMBGHost solo afecta a las versiones 1903 y 1909 de Windows 10, por lo que si sois de los que preferís que las actualizaciones no se hagan de forma automática y, además, tampoco prestáis mucha atención a las mismas, deberíais comprobar qué versión del sistema operativo estáis usando.

En principio y puesto que esta vulnerabilidad fue registrada en marzo de 2020, si habéis actualizado Windows 10 desde entonces, es muy probable que vuestro equipo ya esté a salvo de esta vulnerabilidad. Pero si no estáis seguros, podéis comprobarlo siguiendo estos pasos:

  • Pulsa en el icono de Windows en la barra de tareas con el botón derecho del ratón.
  • En el menú desplegable, pulsa en «Ejecutar».
  • En la ventana escribe el comando «winver» y pulsa «Aceptar».
  • En la ventana que se abre podrás ver la versión de Windows 10 que tienes actualmente instalada, tal y como se muestra en la imagen:

Versión Windows 10 o Windows Server Core instalada

Como veis, la importancia de tener actualizados tanto el sistema operativo como el antivirus y cualquier software que tengamos instalado en el ordenador es esencial, si queremos evitar ser víctimas de este tipo de ciberataques. Es tan importante como conectarse a una red WiFi protegida cuando vamos a acceder a la red de la compañía, puesto que la única forma de protegerse de las vulnerabilidades es instalar las actualizaciones de seguridad que lanzan los desarrolladores para solucionarlas.

Así que te recomendamos que configures las actualizaciones de Windows 10 para que, al menos, recibas notificaciones de cuándo hay una nueva actualización disponible y puedas ver para qué sirve o qué soluciona. De esta manera podrás saber si tu equipo está potencialmente expuesto a una ciberamenaza y protegerte antes de que sea demasiado tarde.