Descripción: La firma es necesaria en el servidor SMB, ya que un atacante remoto y no autenticado podrá explotar esta configuración para realizar ataques man-in-the-middle contra el servidor SMB.
CVE: CVE-2004-2761
Factor de Riesgo: Medio
Valor CVSS Base: 5.0
Solución: Es necesario modificar el registro para cambiar la configuración.
Windows 7
- Presionar la tecla control y la letra r y escribir regedit, presionar OK.
- Modificar la llave de registro ubicada en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\requiresecuritysignature la cual por defecto estará en 0 (inactivo) se deberá dejar en 1 (activo).
- Dar doble clic y modificar el valor dejando activo el registro con el número 1.
Windows 2008 Server
- Ejecutar el comando gpedit.msc y dirijirse a la ruta Computer Configuration / Windows Settings / Security Settings / Local Policies / Security Options
- Habilitar lal opción “Microsoft network client: Digitally sign communications (Always)
- Por último, actualizar la política con el comando gpupdate /Force
Con este ajuste sera mitigada la vulnerabilidad sobre las firmas del servicio SMB.
Linux
En sistema operativo Linux
Editar el archivo smb.conf file:
$sudo vi /etc/samba/smb.conf Busque la sección [global] y agregue la línea:
min protocol = SMB2 Los siguientes comandos funcionan con los clientes de Linux/Windows 10:
protocol = SMB2 Para la versión 4.x de samba, lo puede configurar asi:
protocol = SMB3
Referencias:
https://support.microsoft.com/en-us/help/887429/overview-of-server-message-block-signing
https://technet.microsoft.com/en-us/library/cc731957.aspx
https://nvd.nist.gov/vuln/detail/CVE-2004-2761