Un reporte reciente advierte que varios protocolos antiguos de Windows, incluyendo SMB v1, NetBIOS, LLMNR, WPAD, mDNS y RPC over SMB, permanecen activos en muchas redes empresariales, lo que constituye un vector de ataque persistente para movimientos laterales, recolección de credenciales y ejecución remota. Los atacantes contemporáneos siguen explotando estos protocolos legados para infiltrarse y escalar privilegios en redes corporativas.
Protocolos Legados de Windows: Riesgos y Explotación
Estos protocolos fueron diseñados en una época con menor énfasis en la seguridad y carecen de mecanismos modernos de autenticación y cifrado.
- SMB v1: Este protocolo es obsoleto y conocido por múltiples vulnerabilidades (EternalBlue, WannaCry). Permite exploits remotos, escaneos pasivos y la propagación lateral de malware.
- NetBIOS / NBNS, LLMNR / mDNS: Estos protocolos de resolución local de nombres son inseguros. Son explotados mediante el envenenamiento de respuestas NetBIOS/DNS para dirigir el tráfico hacia hosts controlados por el atacante, lo que facilita la captura de credenciales (NTLM relay / NTLMv1).
- WPAD (Web Proxy Auto-Discovery): Permite al atacante enviar una configuración de proxy maliciosa para capturar tráfico de la red (MiTM) o redirigir el tráfico.
- RPC sobre SMB: Este protocolo encapsulado puede ser explotado si SMB v1 está activo, permitiendo la ejecución de comandos remotos a través de servicios RPC antiguos.
Riesgo Subestimado: Aunque los administradores no expongan estos servicios a Internet, en redes internas corporativas (LAN, WiFi) pueden ser explotados por cualquier máquina comprometida. Dispositivos como impresoras antiguas o equipos IoT pueden estar forzando la activación de estos protocolos “en modo legado”. Herramientas de ataque modernas (Responder, Inveigh) siguen utilizando módulos robustos para el envenenamiento local.
Recomendaciones
- Desactivar Protocolos Legados Innecesarios
- Deshabilitar SMB v1 en todos los servidores y estaciones, manteniendo solo SMB v2/v3.
- Deshabilitar LLMNR y NetBIOS en interfaces de red donde no sean esenciales para la operación.
- Desactivar WPAD si no se utiliza el descubrimiento automático de proxy.
- Revisión de Equipos y Políticas
- Escanear la red interna para encontrar hosts que todavía ejecutan SMB v1 o tienen puertos NetBIOS/RPC en uso.
- Verificar Políticas GPO / Configuración de Dominio para asegurarse de que los nuevos dispositivos no habiliten protocolos legados por defecto.
- Migrar servicios que dependían de RPC/SNMP/WMI a versiones modernas y seguras (RPC Poc_TLS, WinRM).
- Segmentación y Filtrado de Tráfico Interno
- Implementar reglas de firewall interno o segmentación de red para impedir el tráfico de SMB v1 entre segmentos no confiables.
- Bloquear puertos NetBIOS (137–139) / mDNS / LLMNR donde no sean estrictamente esenciales.
- Monitoreo de Comportamiento Sospechoso
- Alertar tráfico de NetBIOS/LLMNR desde hosts con actividad anómala (escaneos, descubrimiento de hosts).
- Detección de intentos de envenenamiento (ARP/NBNS poisoning, respuestas incorrectas de nombre de host).
- Correlacionar eventos: alertar si una máquina inicia respuestas DNS locales y luego solicita credenciales NTLM.
