Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Vulnerabilidades de SMBv3 explicadas

Vulnerabilidades de SMBv3 explicadas

Jun 25, 2024

Los lugares de trabajo han evolucionado. Aunque el trabajo híbrido y remoto existía antes del COVID-19, estas modalidades de trabajo se hicieron aún más prevalentes durante y después de la pandemia. Hoy en día, los lugares de trabajo ofrecen la flexibilidad para que los empleados trabajen y accedan a los recursos de la empresa desde cualquier lugar del mundo, con el protocolo Server Message Block (SMB) en el centro de esto. Sin embargo, esta flexibilidad ha abierto la puerta a desafíos de ciberseguridad más significativos porque se requiere algo más que el tradicional modelo de seguridad basado en el perímetro.

Este artículo explorará estas preocupaciones de ciberseguridad, particularmente en el SMBv3, y proporcionará medidas prácticas para identificarlas y mitigarlas.

¿Qué es SMBv3?

Server Message Block (SMB) se refiere a un protocolo de red que permite que aplicaciones, computadoras y dispositivos se comuniquen y compartan recursos, como archivos, impresoras y puertos serie, a través de una red. Facilita la comunicación entre clientes (dispositivos que solicitan acceso a recursos) y servidores (dispositivos que proporcionan recursos) en una red de área local (LAN) o a través de internet.

Desde su creación en la década de 1980, SMB ha tenido varias iteraciones (con mejoras en rendimiento y seguridad), siendo SMBv3 la más reciente.

Vulnerabilidades de SMBv3

A pesar de las importantes mejoras realizadas en SMBv3, todavía presenta algunas vulnerabilidades de seguridad, siendo la ejecución de código remoto una de las más preocupantes. La ejecución de código remoto (RCE) es una vulnerabilidad de seguridad que permite a los actores de amenazas ejecutar o correr código malicioso en una computadora o red, generalmente de forma remota, para obtener control completo.

SMBGhost (CVE-2020-0796)

El 10 de marzo de 2020, Microsoft publicó accidentalmente información sobre una vulnerabilidad recién identificada (CVE-2020-0796) en SMBv3. Aunque Microsoft eliminó rápidamente esta información, los investigadores ya la habían anotado. Esto obligó a Microsoft a publicar un formal advisory dos días después (el 12 de marzo de 2020).

Estos eventos llevaron a la comunidad de seguridad a apodar CVE-2020-0796 SMBGhost. Según Microsoft, esta vulnerabilidad podría conducir a la ejecución de código remoto en el servidor, lo cual es siempre una preocupación significativa como una vulnerabilidad grave.

El aviso de Microsoft resaltó que los actores maliciosos pueden explotar esta vulnerabilidad enviando un paquete especialmente diseñado a un objetivo, el servidor SMBv3. Esto es muy similar a la vulnerabilidad de SMBv1. La parte alarmante de esta vulnerabilidad es que los investigadores la consideraron “propagable”, lo que significa que si alguien explotara una de tus máquinas, podría potencialmente extenderse de máquina en máquina a través de tu entorno.

La versión específicamente afectada fue la 3.1.1, la versión más reciente de SMBv3. Microsoft también indicó que la vulnerabilidad afectaba a todas las versiones de Windows 10 y Windows Server que ejecutan las versiones 1903 y 1909.

Afortunadamente, existen algunas mitigaciones y soluciones alternativas potenciales para evitar este problema y, a partir del 3/12/2020, Microsoft lanzó un patch que aborda esta vulnerabilidad.

Contenido relacionado seleccionado:

CVE-2022-24508

Dos años después de SMBGhost, el 8 de marzo de 2022, Microsoft lanzó otra actualización de seguridad relacionada con SMBv3. Descrita como una vulnerabilidad de ejecución remota de código en la enumeración de archivos Win32, CVE-2022-24508 fue otra vulnerabilidad RCE que afectó principalmente a la versión 2004 de Windows 10 y versiones más recientes que soportan SMBv3.

Aunque no hay tanta información sobre CVE-2022-24508 como en SMBGhost, vale la pena señalar que Microsoft calificó la gravedad de esta vulnerabilidad como “importante”. Esto significa que las organizaciones aún deben prestarle la atención necesaria tomando medidas para prevenirla.

Riesgos e impacto de las vulnerabilidades de SMBv3

Dado que la vulnerabilidad de seguridad más significativa de SMBv3 es RCE, esta sección explorará los riesgos relacionados con esta amenaza. Estos incluyen lo siguiente:

  • Acceso no autorizado: El primer impacto de un ataque RCE es que los actores maliciosos obtienen acceso no autorizado a la red interna de una organización. Esto puede tener consecuencias graves, como la escalada de privilegios, que otorga a los atacantes más autoridad dentro de la red para llevar a cabo acciones más dañinas.
  • Violaciones de Datos: Los datos, especialmente los datos internos de la empresa (secretos empresariales), son uno de los activos más importantes de las organizaciones. Si estos datos cayeran en manos equivocadas, tendrían efectos devastadores. Por lo tanto, una de las principales razones por las que los atacantes realizan ataques RCE es para robar datos sensibles de la empresa.
  • Propagación de Malware: Una vez dentro de una red, los atacantes pueden propagar código malicioso a través de privilege escalation a otras redes y dispositivos conectados.
  • Ataques de ransomware: Los actores de amenazas también pueden utilizar ataques RCE para mantener los recursos de la empresa “rehenes”. En tal situación, los atacantes bloquean a los administradores de la empresa del acceso a la red afectada o cifran datos esenciales y exigen un pago a cambio de acceso.
  • Incumplimiento Regulatorio: Una violación de datoses puede poner a su organización en riesgo de incumplimiento con leyes y regulaciones que rigen el manejo de datos, como el General Data Protection Regulation (GDPR) y la Health Insurance Portability and Accountability Act (HIPAA). Esto puede llevar a multas considerables por parte de estos reguladores y una pérdida de confianza por parte de los clientes.
  • Pérdidas Financieras: Individualmente o en conjunto, los riesgos discutidos anteriormente pueden provocar pérdidas significativas para las organizaciones afectadas. Las empresas corren el riesgo de sufrir graves pérdidas financieras al pagar rescates para recuperarse de las pérdidas debido a tiempos de inactividad y al pagar multas por incumplimiento regulatorio.

Prevención y mitigación de vulnerabilidades SMBv3

El primer paso (y el más obvio) para prevenir vulnerabilidades SMBv3 es aplicar los parches que Microsoft ha proporcionado en el pasado. Esta es la forma más efectiva de mitigar vulnerabilidades identificadas que tienen soluciones conocidas.

Si, por cualquier motivo, no puede aplicar los parches a corto plazo, Microsoft ha identificado una solución alternativa para evitar que los actores de amenazas la exploten. El problema reside en la compresión SMB, por lo que desactivar esta característica de SMB lo protegerá de un atacante que intente explotarla.

Set-ItemProperty -Path "HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force

El código de PowerShell anterior actualizará su registro y desactivará la función de compresión en los servidores SMB. Esto no protegerá a sus clientes SMB; el código necesario para actualizar sus clientes está a continuación:

Set-ItemProperty -Path "HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 0 -Force

Afortunadamente, ninguna de estas actualizaciones del registro requiere un reinicio para surtir efecto.

Una pregunta que podrías tener es sobre el impacto que tendrá desactivar la compresión SMB. Microsoft menciona en su advisory que la compresión SMB ni siquiera se utiliza en Windows o Windows Server todavía. No tendrá ningún impacto negativo en el rendimiento.

Mejores prácticas para mitigar los riesgos asociados con las vulnerabilidades de SMBv3

Aunque aplicar los parches es esencial y puede ayudar a proteger contra las vulnerabilidades de SMBv2, hay varias cosas que puede hacer para asegurar la máxima protección de las redes de su organización, incluyendo lo siguiente.

Utilice las últimas versiones de SMB

Las últimas versiones de SMB suelen tener actualizaciones que pueden ayudar a proteger su red. Como se mencionó anteriormente, Microsoft ha lanzado varias actualizaciones para SMB desde su creación. Aunque la versión más reciente es SMBv3, todavía ha habido mini-actualizaciones dentro de la versión y, al momento de escribir este artículo, la más reciente es SMB 3.1.1, desarrollada para Windows 10 y Windows Server 2016. Por ejemplo, esta versión cuenta con varias actualizaciones que la hacen más segura que las versiones anteriores, tales como:

  • Cifrado
  • Caché de Directory Management
  • Integridad de pre-autenticación
  • Soporte para actualización de clústeres en marcha

Segmente su red

En caso de un ataque, los actores de amenazas pueden usar la escalada de privilegios para extender el impacto a través de las redes conectadas. Puedes reducir la magnitud y el alcance del ataque dividiendo tu red en segmentos o subredes más pequeños e aislados. De esta manera, incluso si los hackers explotan una vulnerabilidad en un segmento, no pueden usarla para acceder a otro en tu red.

Monitoreo del tráfico de red

Incluso con parches y la implementación de las mejores prácticas de seguridad, debes estar atento a comportamientos sospechosos o anormales y también a firmas de ataques conocidos dentro de tu red. Para hacerlo, puedes implementar las siguientes estrategias:

  • Establezca una línea base de comportamiento normal de la red; cualquier desviación de esto debe ser señalada como una amenaza potencial.
  • Utilice Sistemas de Detección de Intrusiones (IDS) y Sistemas de Prevención de Intrusiones (IPS)
  • Utilice herramientas de análisis de tráfico de red
  • Analice los datos de telemetría de endpoint y los patrones de comportamiento
  • Habilite el registro en dispositivos de network devices

Configure Firewalls

Los firewalls pueden ser extremadamente útiles para proteger la integridad de su red. Funcionan aplicando una política de denegación, donde su red bloquea cualquier tráfico entrante y saliente que no caiga en la categoría de “permitido” de la configuración del firewall. Por ejemplo, si configura firewalls para limitar el tráfico SMB a direcciones IP específicas o subredes, puede ayudar a prevenir el acceso no autorizado proveniente de ataques de ejecución remota.

Cómo Netwrix puede ayudar

Las vulnerabilidades de SMB han estado y siempre estarán presentes. Pero el hecho de que esta sea la realidad no significa que debas aceptarlo como el estado de las cosas y no hacer nada al respecto. Puedes y debes tomar medidas proactivas para proteger la red de tu organización contra las vulnerabilidades de seguridad y los riesgos asociados.

Afortunadamente, Netwrix puede ayudar. Contamos con soluciones de Identity Threat Detection and Response (ITDR) que pueden brindarte tranquilidad. Las soluciones Netwrix ITDR te ayudan a identificar amenazas potenciales proporcionando alertas en tiempo real. Una vez identificadas, estas soluciones te ayudan a cerrar rápidamente y de forma automática las amenazas con libros de jugadas preestablecidos. Finalmente, Netwrix facilita un proceso de recuperación rápido para tu red restaurándola a su estado previo al ataque.

¿Necesita una solución proactiva para prevenir vulnerabilidades SMBv3? Contáctenos hoy para descubrir cómo podemos ayudar.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Kevin Joyce

Director de Product Management

Director de Product Management en Netwrix. Kevin tiene una pasión por la ciberseguridad, específicamente en comprender las tácticas y técnicas que los atacantes utilizan para explotar los entornos de las organizaciones. Con ocho años de experiencia en product management, enfocándose en Active Directory y la seguridad de Windows, ha llevado esa pasión a ayudar a construir soluciones para que las organizaciones protejan sus identidades, infraestructura y datos.

Aprende más sobre este tema

Encontrar permisos abusables de Active Directory con BloodHound

AD Certificate Services: Configuraciones de riesgo y su remediación

¿Qué es un ataque DCSync?

How to Prevent Cyber Attacks: Strategies and Best Practices

Ciberataques en 2023: Incidentes clave y las lecciones aprendidas para 2025

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad