EDICIóN GENERAL
211 meneos
6666 clics
Deshabilitar SMB 1.0, alternativa para que WannaCrypt no se propague por la red

Deshabilitar SMB 1.0, alternativa para que WannaCrypt no se propague por la red

Con SMB 1.0 deshabilitado, el ransomware WannaCrypt, no puede distribuirse por SMB aunque no hayamos instalado el parche oficial de Microsoft. En el artículo se explica las repercusiones de deshabilitar SMB 1.0 y cómo hacerlo en todos los sistemas operativos Windows actuales.

| etiquetas: seguridad
Comentarios destacados:                      
#9 #3 Hoy en día la red suele venir con DHCP activado, para que el 90% de los usuarios pinchen directamente el ordenador al enrutador de la operadora y a correr.

No sé tú, pero yo conozco mucha gente que les preguntas qué sistema utilizan, y no lo tienen claro; como para preguntarles si en su red hay equipos con Windows Server 2003 que compartan recursos...

No estoy defendiendo a Microsoft, que conste. En un mundo ideal me gustaría que fuera como tú dices, y se activaran sólo los servicios estrictamente necesarios; pero siendo realistas, la mayor parte de la gente ni sabe, ni quiere saber, sólo quieren encender y listo.
A ver si lo he entendido bien...

Se supone que ese protocolo está activado por si queremos compartir archivos y periféricos en redes con equipos que tengan Windows XP y/o Windows Server 2003.

Por tanto si aún hay en la red equipos con esos sistemas deshabilitar la compatibilidad SMB podría ocasionar problemas.
Para todos los demás funcionaría.

¿Lo lógico no sería que esa compatibilidad viniese desactivada por defecto y con un mensaje que dijese que hay que activarla si tenemos en la red equipos con Windows XP y Windows Server 2003? Pregunto
#1 No, precisamente la amigabilidad con los usuarios nace de que las cosas "funcionen" sin que tengan que tocar nada.

Porque ahora es un agujero en SMB, pero mañana puede ser en USB 2.0, o en IPv6, o...
#2 Estoy de acuerdo en que es mejor que las cosas funcionen sin necesidad de tocar nada, pero puede hacerse de un modo "amigable", ya que la configuración de red se tiene que hacer, no viene por defecto preparada para la red de cada usuario. Sería simplemente poner una opción para activarlo (junto a un mensaje que diga que es necesario "solo" si en la red hay equipos con W-XP o WS2003).
Supondría un clic adicional únicamente, y evitaría problemas de seguridad por un protocolo anticuado.
#3 Hoy en día la red suele venir con DHCP activado, para que el 90% de los usuarios pinchen directamente el ordenador al enrutador de la operadora y a correr.

No sé tú, pero yo conozco mucha gente que les preguntas qué sistema utilizan, y no lo tienen claro; como para preguntarles si en su red hay equipos con Windows Server 2003 que compartan recursos...

No estoy defendiendo a Microsoft, que conste. En un mundo ideal me gustaría que fuera como tú dices, y se activaran sólo los servicios estrictamente necesarios; pero siendo realistas, la mayor parte de la gente ni sabe, ni quiere saber, sólo quieren encender y listo.
#9 ni sabe, ni quieren saber, ni tienen porqué, las cosas como son. No se puede pretender tener varios sistemas informáticos en cada hogar y que toda la población deba aprender este tipo de cosas para eso, si fuera así la informatización de la sociedad no habría ocurrido, todo el mundo no tiene porque tener las mismas capacidades, ni los mismos intereses, ni el tiempo para dedicarlo a aprender ese tipo de cosas
#26 Eso es cierto, pero el usuario promedio que trabaja toda su jornada delante de un ordenador tiene unos conocimientos de su herramienta de trabajo equivalentes a que un taxista no sepa abrir el capó del coche, y eso tampoco debería ser así, la última ridiculez por la que me han llamado ha sido un usuario que dejó un cuaderno en la mesa presionando la tecla ctrl del teclado sin darse cuenta, y la hoja de Excel le hacía zoom en lugar de scroll, y ahí se quedó atascado :palm: .
#54 {0x1f602} {0x1f602} {0x1f602} {0x1f602} {0x1f602} {0x1f602} {0x1f602} {0x1f602} {0x1f602} {0x1f602} bueno.... hay casos y casos.... eso que me cuentas es como para :wall: :wall: con tal de no matarle a golpes con el teclado, por tonto
#28 fácil, el usuario quiere todo, ya, y si la empresa de al lado tiene algo que hace algo, eso también, y rapidito
#2 Practicamente hay agujeros en todo, debilidades que encuentran después de años y que han estado ahí. Lo de este "ataque" es totalmente normal y a lo que todos los usuarios deberían acostumbrarse, esto si que es el futuro. Lo extraño es que no haya un ataque asi semana si semana no.
#8 Si hubiera cosas así cada poco aumentaríamos la paranoia y se acabaría el problema. Todo tiende a autorregularse.
#2 Sí, toda la razón. También es buena idea desactivar todo lo que de momento no vayamos a usar, por ejemplo el IPv6.
#1 Son más cosas que eso, son aparatos en red, impresoras... yo acabo de desactivar smb1 y la aplicación Solid explorer dejó de funcionarme con la red de windows, Xubuntu vía samba también siendo que debería ser compatible. A saber qué aparatos en red tendrán las empresas.
#14 Kubuntu debería poder usar NTLM2.0
#27 NTLM es un protocolo antiguo de autenticación, y para usar entre servidores Windows/Linux es preferible, más rápido y más seguro usar Kerberos para las validaciones. Y con SMB funciona perfectamente a no ser que se use la IP en lugar del nombre DNS (local) o FQDN.

#22 En mi NAS Synology, bastante antiguo pero con actualización reciente, hay opción de usar SMB1/SMB2/SMB3 (imagen adjunta), pero como dicen #14 y #19, el problema también está en la otra parte, ya que los fabricantes muchas…  media   » ver todo el comentario
#65 habría problema si forzamos smb3 en synologic con red w10 w7?
Sabes si se mejora velocidad?
#66 La mejora es insignificante. Para mejorar las transferencias dependes de:
- Discos duros elegidos.
- Tipo de RAID: 0 más rápido y 5 más lento.
- Tarjetas y cableado de red. Para red Gigabit usa cable CAT 6.
#65 sobre cm muy ligera, prueba la ISO para virtualizar de Alpine, hay una edición.
#65 Esto es lo ideal, que el NAS te deje elegir la versión de SMB a utilizar.
#1 También es necesario el SMB 1 para poder escanear con fotocopiadoras Kónica-Minolta, he intentado desactivarlo en el curro y me han llovido las quejas... ya llorarán cuando tengan que estar un día sin ordenador.
#19 Es una pena que los fabricantes no actualicen con nuevos firmware versiones superiores de protocolo SMB.
#1 Y así es, sino voy mal, cada vez que Windows se conecta a una red nueva te pregunta si quieres habilitar el uso compartido de archivos y periféricos, hasta que no lo habilitar no puedes ver las carpetas compartidas de otros equipos de la red.
Mejor mantener los S.O. siempre actualizados.
#4 mejor mantener los PC lejos de Windows
#5 No tiene porque ser así, Windows 10 es muy buen S.O.
#6 está bien que opines así y lo publiques, por si Windows también envía al servidor todo lo que tecleas, junto con todo lo que dices
#7 claro, a ver MS lee mis comentarios y me envía un sobre a casa. {0x1f601}
#10 lee tus comentarios en meneame
#6 El chiste del día. xD xD xD
#17 Eres un poco triste, amigo. Windows 10 es un buen sistema operativo, las cifras le avalan y la crítica también.
#24 No hay crítica que valga, viene en casi todos los PCs nuevos instalado por defecto sin preguntar a nadie.
Window$ 8 y 10 es de lo más penoso que he visto en años. Conozco entornos profesionales que los evitan manteniéndo sus viejos Window$ 7.
(CC #17)
#32 "Conozco", "opino",...

Sí, evidentemente sabes lo que hablas. Tus enormes argumentos me apabullan. Yo sí tengo datos para ti:

computerhoy.com/noticias/software/windows-10-logra-gran-crecimiento-es

Mucha gente también compraba ordenadores con Windows Vista y terminaba instalando XP. Si se quedan con Windows 10 será por algo. Tu argumento es realmente muy pobre, amigo. Tendrás que esforzarte más la próxima vez. Suerte, campeón.
#34 Amiga... 500. ;)
#36 Me has convencido
#36 Si claro, el 500 porque tiene la vampire... cuan saquen la versión para 1200 ya veras T_T
#34 ojo! Ha puesto un link a computerhoy.com como prueba de su argumento #noshasmatao #irrefutable
#44 Como todo en este mundo, Windows 10 es bueno para algunas cosas y no tanto para otras. Y el resto de sistemas ídem, no seáis talibanes.
#34 Lógico que tenga un gran crecimiento, los intel de séptima generación y los ryzen de amd solo tienen soporte para windows 8 y 10, y puestos a elegir pues me quedo don el win10, si quiero un win7 tengo que usar los de sexta y anteriores.
#52 Sí, estoy seguro que eso lo sabe la mayoría de los usuarios que adquieren un PC nuevo.
#53 Lo sabrán cuando al montar su i7-7700k con su 1080ti e intenten instalar su copia de seguridad del win7 eso no funcione.
#52 Lo mejor es que alguien consiguió hacer funcionar un Ryzen en W7 y el rendimiento era superior a W10 :shit:
#32 #34 Yo, en cuanto a Windows se refiere, soy un ratito. El que prefiero es el 8.1, que tiene muchas cosas buenas del 10 (que las tiene) pero sin todo el intrusismo y la falta de control que trae consigo... Y con todas las cosas buenas del 7 :-)

Pronto probablemente experimentaré con el WS2016, que en teoría tiene todo lo bueno del 10, pero el problema es que por defecto viene con bastantes cosas capadas (por faltar... viene por defecto sin interfaz gráfica). Si veo que tuneándolo un poco consigo tener un Windows actualizado, potente estable, no intrusivo, sin actualizaciones forzadas, etc... Me hago una ISO personalizada y empiezo a tomarla como base para todos los PCs que caigan en mis manos.
#92 www.classicshell.net/
Y algún programa que ahora mismo no recuerdo pero que podría buscarte para acabar con el tema de la intrusividad, falta de privacidad etc.
#93 A mi es que me gustan los SSOO cuanto más limpitos mejor. Usaba Windows 2000 en vez de XP durante bastante tiempo, usaba MacOSX cuando tenía dinero para un Mac xD Y ahora uso W8.1 a falta de probar a ver qué tal se comporta el WS2016 :-P
#94 ¿Pero cómo vas a utilizar WS2016, muchacho? Si es un sistema preparado para servidores.
#95 No entiendo cuál es el problema. Windows 2000 también lo era. Debian también lo es. MacOSX también lo es... Los he usado de forma habitual en PCs normales son ningún problema.
#6 Salvo por que es más pesado, incorpora telemetría del uso que le das, la búsqueda de programas alfabéticamente es una mierda, las búsquedas de archivos las hace de puta pena y tiene incompatibilidades con algunos drivers de discos duros que hacen que vaya el doble de lento, sí, es muy buen S.O.
#6 tienes que ser un bot o algún tipo de cuenta zombie
#6 A mi me parece una auténtica basura. Instala lo que le sale de los huevos, reinicia cuando le sale de los huevos (sin posibilidad de abortar), es un enorme spyware, etc, etc... por algo lo regalaban...
#6 comparado con Windows Me o Windows Vista sí. Dicho así, en términos absolutos, "muy bueno" me parece exagerar mucho.
#6 Lo puse en un laptop y lo mantengo actualizado. Lo uso ahí. Visto lo que es, lo mantengo apartado de otros PCs que siguen de momento con Windows 7 y no los voy a actualizar a 10 por ahora.
#5 ¿Y para que van a compromoter Mac y Linux? ¿Merece la pena?
#5 realmente los crackers atacan Windows por la cantidad potencial de víctimas, no por otra cosa.
#20 Pienso lo mismo que tu.
#25 Aunque sólo sea por eso (que no lo creo), me parece suficiente para seguir el consejo de #4
Me parece lógico que si un producto o servicio, por el hecho de estar saturado, me va a dar problemas, busco otra alternativa.
#25 Mira la cantidad de gente que utiliza iphone y sin el el codigo de acceso es practicamente imposible acceder a un Iphone actualizado. Como es posible que mi ordenador del 2017 este actualmente utilizando una dll que fue programada hace diez años y que no ha sido practicamente revisada? Por eso Windows es mas vulnerable, cada vez que sale una nueva version se le lava la cara al OS pero se mantiene el mismo core
#20 ¿millones de servidores, la inmensa mayoría sin Windows, no son muchas víctimas potenciales? ¿Los errores de diseño de Windows que lo hacen un coladero para ejecutar binarios tampoco tienen que ver?
#86 vale, hombre, pues nada, cuánto sabe todo el mundo aquí.
#5 pues va a ser que no se puede, 2000 millones de usuarios nos gastamos una barbaridad en lisensias de windows y microsoft desde hace 35 años y esto no vahttp://es.euronews.com/2016/08/23/gates-supera-los-90000-millones-de-dolares-el-05-por-ciento-del-pib-de-eeuu-en a cambiar, al contrario empeora, por otro lado estas el open source y las empresas como Google que cada dia ganan mas dinaro a costa de este, mala cosa, son peores que micro
#4 100% de acuerdo. Siempre S.O. con los parches aplicados.
#4 ¿Y si para actualizarlo tengo que formatear?

www.meneame.net/c/21739664
Ya lo dije en este comentario: www.meneame.net/story/espana-advierte-ataque-informatico-masivo-contra
Que la alternativa a actualizar era deshabilitar SMB, como había publicado MS hace 2 meses...pero no, la gente dice que los admin han hecho bien..pues ya está.
#12 Tienes toda la razón. El parche en sí no es de ahora.
#12 Trabajo como desarrollador en una gran empresa (150k empleados por todo el mundo). El viernes fue objeto del ataque. El bicho no pasó ni los filtros de correo. Ni se ordenó apagar equipos ni se paró la producción. No se si hubo algún equipo marginal afectado pero no me consta. Así que como llevo diciendo desde el viernes, las empresas que han caído ha sido sólo y exclusivamente por unas malas políticas de seguridad. No me valen excusas de volumen de equipos o criticidad.
#39 150k? Que guapo trabajar en una empresa 3 veces más grande que Google o 1.5 veces más grande que Oracle o 2 veces Apple (incluyendo a los vendedoruchos de la Apple store).
#45 Volkswagen?
#45 Estoy hablando de un holding pero para el caso es lo mismo. Edito: la cifra exacta es 134.792. Pero bueno ya se sabe que en meneame lo de opinar con el palillo en la boca está muy de moda.
#55 #45 Con esa cifra me sale en "patopatovoy" el B B V A
#62 #55 por eso he dicho que guapo trabajar en una empresa tan grande.
#39
Qué cachondo eres... Dices que hay unos 150 000 empleados, que eres desarrollador, y que "No se si hubo algún equipo marginal afectado pero no me consta"
Nos ha jodido. Es perfectamente posible que se hayan visto afectados 1000 PC, por ejemplo, pero que a ti no te conste... ¿no? Porque 1000 entre 150 000 no son muchos, y porque a un desarrollador no hay que informarle de todas las minucias.

Ateniéndome a lo que han dicho las noticias, BBVA se ha visto afectada por el…   » ver todo el comentario
#12 No entiendo de qué te quejas... quién ha dicho que los admin hicieron bien?
Y añado otra solución que había...complicadísima de implementar: Tener instalado un software de protección. El día del ataque el gusano tenía un ratio de detección de 43/61 (hoy ha subido a 52/61) virustotal.com/en/file/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa61
Yo tengo instalada la versión doméstica de malwarebytes premium y el windows defender y oh, sorpresa, AMBOS lo hubieran parado el día del ataque si me hubiera llegado.
Ha sido una cuestión de dejadez total por parte de los administradores de las empresas, ya que han tenido que intervenir muchos factores para poder contagiarse.
#13
Pues sí, es complicada de implementar. Esos programas de protección generan incompatibilidades y varios quebraderos de cabeza. Eso sin contar que no son efectivos.
#18 A veces crean cosas peores que incompatibilidades. Jamas olvidaré aquel dia que el 80% de los ordenadores de mi empresa dejaron de funcionar porque McAfee considero que el archivo svchost.exe era un virus y debía ser eliminado. En un parque de 50 ordenadores el riesgo puede ser mas o menos aceptable, en uno de 1000 o 10.000, no tanto.
#13 Esos programas detectan al bicho, un rasonware de lo mas común. Pero por el agujero que ha dejado abierto la NSA, te pueden meter lo que quieran, un troyano que te robe los datos bancarios o directemente ejecutarte una consola en remoto con Metaexploit. La unica manera de estar seguros es instalando el ms17-010 o deshabilitando smb 1
Si tienes que conectar tu equipo a una NAS o servidor mediante protocolo SMB no desabilites ese servicio de tu equipo. Lo digo por aquello de gente que hace copia de seguridad en casa de fotos o trabajan sobre sistemas de almacenamiento en red.
#21 Depende a la versión de SMB que se negocie con el NAS o servidor, puedes deshabilitar la compatibilidad SMBv1, que es la versión vulnerable.
#21 En mi empresa tenemos un servidor NAS, yo lo que hice por si acaso fue cambiarlo de SMB a FTP, es mas lento, pero pido pudo seguir todo funcionando, la impresora la conecte por usb al pc más cercano y la comparti al resto desde ese pc, asunto arreglado.
Si lo desactivas a tomar por culo toda comunicación con otros equipos. Es como decir que para no tener un accidente dejes el coche en el garaje y destruyas la rampa de acceso.
#31 Depende a la versión de SMB que se negocie. Si los otros equipos negocian a SMB 2.0 o superior, no hay problema.
Todo hubiese sido distinto con "The Microsoft Network" :troll:
¿Alguien tiene a mano la url con el parche para Windows 10?

Gracias!
#41 Como se ha dicho en varios de los artículos publicados, Windows 10 no es vulnerable y no necesita parche.
#50 Ahh vale, gracias :-)
#58 No es que no necesite parche es que el parche llego en Marzo y se supone que lo tienes instalado.

Puedes redireccionar el puerto 445 exterior a una ip que no exista por si las moscas.

o

www.sysadmit.com/2017/05/windows-deshabilitar-smb-10.html
#50 Windows 10 sí se ve afectado por la vulnerabilidad, tiene un parche desde marzo. Otra cosa es que este ransomware no esté preparado para propagarse a equipos Windows 8 o 10, cosa que podría cambiar en cualquier momento.
Lo he deshabilitado y no puedo abrir mis carpetas compartida en la Raspberry. No se hasta que punto es una opción.
La pregunta es ¿Si solo tienes activada la compartición de archivos en tu red local, ¿Pueden acceder desde internet?
#48 Solamente si en tu router tienes mapeado el puerto 445 hacia un dispositivo de tu LAN que use SMB. Lo cual solo es el caso si lo has configurado asi explicitamente.
#73 O que te conectes directamente sin router, o que tengas algún equipo configurado en DMZ (zona desmilitarizada), o que abras algo que no tengas que abrir.
#73 #79 Entonces me puedo quedar un poco más tranquilo. Y ahora entiendo por que afecta las empresas y no a particulares.
#84 Los particulares estamos bastante mas cubiertos para ataques externos ya que por defecto ademas del firewall del sistema operativo los routers suelen llevar uno integrado y que por defecto también esta activado.

Pero eso no significa que puedan pasar otras cosas, lo suyo es siempre tener varias copias de seguridad (nube, USB externo, etc) de las cosas importantes, y ahora que el precio del gigabyte esta tan barato....
#84 Sí, en las redes locales con SMBv1 activado y sin parche aplicado, empieza a saltar de máquina en máquina.
Dramatización.  media
En los comentarios del post, también preguntan como desactivar SMB sobre Windows 2000.

¡Hay gente que va con Windows 2000! o_o o_o o_o
Bueno, mi experiencia, si a alguien le sirve "pa' su casa": un MODEM/Router con capacidad inalámbrica CISCO (que es de la compañía, Gateway fijo e IP pública fija; no, no soy millonario, es un arreglo especial que tengo) + dos PC con Win7 de 32 y 64 bits respectivamente (ambas con adaptador Wi-Fi) y una tercera con XPSP3 que se usa de "almacén" y cuya única conexión al mundo es un UTP cruzado que la une al equipo de 64 bits.

Parcheé la de 64 bits, porque no le puedo quitar…   » ver todo el comentario
comentarios cerrados

menéame