El protocolo Microsoft Server Message Block (SMB) se utiliza principalmente para compartir archivos de red local y acceder a servicios remotos en muchas empresas que utilizan PC con Windows en su entorno. SMB es también un buen ejemplo de fruta madura para los atacantes, porque es un protocolo que se utiliza en muchos servicios y tiene un largo historial de configuraciones inseguras o errores de implementación. Para los actores de amenazas, esto significa que pueden acceder con bastante facilidad a un servidor que utilice el protocolo SMB y luego pasar de ese servidor a otros servicios y aplicaciones de la empresa.
Dado que muchas organizaciones siguen confiando en SMB, periódicamente se publican nuevos exploits, amenazas y brechas relacionadas con el protocolo. MalwareBytes Labs indicó que, a finales del año pasado, dos conocidos ataques de malware, Emotet y Trickbot, estaban vinculados a vulnerabilidades SMB. ¿Recuerdas WannaCry y sus muchos cohortes EternalBlue y EternalX? También estaban conectados a una vulnerabilidad SMB, según nuestros amigos de MalwareBytes. A medida que los atacantes obtienen acceso a través de servidores SMB, utilizan la funcionalidad de gusano en ambos ataques de malware para propagarse lentamente a través de la organización.
Novedades en Censys?
Recientemente hemos añadido cantidades masivas de nuevos datos de escaneo de Internet sobre puertos SMB, incluyendo:
Tipos de autenticación
Indicadores de capacidad SMB:
- Cifrado
- Sistema de archivos distribuido
- Operaciones multicrédito
- Sesiones multicanal
- Asas persistentes
- Leasing / Directorio Leasing
Nombre de destino del host encontrado en los mensajes SMB
Para la gente de pentesting y caza de amenazas, esto significa que ahora puede rastrear más fácilmente los hosts vulnerables a ataques de malware de Windows como WannaCry y EternalBlue, y analizar estos datos más en profundidad en cada host afectado.
Encontrar el protocolo SMB en Censys
La forma más sencilla de empezar a utilizar nuestros nuevos informes SMB en Censys es buscar la etiqueta SMB:
https://censys.io/ipv4?q=tags%3Asmb
Todos los datos SMB adicionales que hemos añadido en esta actualización se incluyen ahora en la etiqueta SMB existente.
Protección de las PYME
Aunque suene un poco a disco rayado, lo más importante para nuestros lectores de seguridad corporativa es asegurarse de que todos los servicios para PYMES que utilicen estén parcheados y actualizados.
También es una buena idea echar un vistazo a quién tiene acceso a estos hosts y si hay algunos usuarios con más acceso del que necesitan.
Microsoft dispone de una vertiginosa gama de opciones de seguridad que pueden proporcionarle un sistema bloqueado, pero es complicado. Esta documentación puede ser un buen punto de partida, así como la herramienta Microsoft Security Baseline Tool. Asegúrate de que estos hosts están bien configurados y son seguros, especialmente cuando son accesibles desde Internet.
Suscríbase para recibir actualizaciones de productos, investigaciones interesantes y mucho más directamente en su bandeja de entrada. No olvide seguirnos también en Twitter.