Microsoft filtró información sobre una actualización de seguridad para una vulnerabilidad de ejecución remota de código preautorizada ‘wormable’ que se encuentra en el protocolo de comunicación de red Server Message Block 3.0 (SMBv3) que, según los informes, debería haberse divulgado como parte del Patch Tuesday de este mes.

La vulnerabilidad se debe a un error cuando el SMBv3 maneja paquetes de datos comprimidos creados con fines maliciosos y permite que los atacantes remotos no autenticados que lo explotan ejecuten código arbitrario dentro del contexto de la aplicación.

A pesar de que Microsoft no publicó el aviso de vulnerabilidad (hasta ahora Redmond no ha dado ninguna explicación al respecto), varios proveedores de seguridad que forman parte del Programa de Protección Activa de Microsoft que obtienen acceso temprano a la información de vulnerabilidad revelaron detalles sobre la falla de seguridad rastreada como CVE-2020-0796 .

Versiones de escritorio y servidor de Windows 10 afectadas

Los dispositivos que ejecutan Windows 10 versión 1903, Windows Server versión 1903 (instalación Server Core), Windows 10 versión 1909 y Windows Server versión 1909 (instalación Server Core) se ven afectados por esta vulnerabilidad de acuerdo con un aviso de Fortinet , aunque deberían verse afectadas más versiones que SMBv3 se introdujo en Windows 8 y Windows Server 2012.

«Un atacante podría explotar este error enviando un paquete especialmente diseñado al servidor SMBv3 de destino, al que la víctima debe estar conectada», explicó Cisco Talos  en su informe del Parche de Microsoft el martes, que luego fue eliminado por los expertos en seguridad de Talos.

«La explotación de esta vulnerabilidad abre los sistemas a un ataque ‘wormable’, lo que significa que sería fácil pasar de una víctima a otra», agregaron también.

Fortinet dice que tras una explotación exitosa, CVE-2020-0796 podría permitir a los atacantes remotos tomar el control total de los sistemas vulnerables.

Debido al secreto de Microsoft, las personas están elaborando sus propias teorías sobre el malware y su gravedad, algunos comparándolo con EternalBlue, NotPetya, WannaCry o MS17-010 ( 1 , 2 ).

Otros ya han comenzado a encontrar nombres para la vulnerabilidad, como SMBGhost , DeepBlue 3: Redmond Drift, Bluesday, CoronaBlue y NexternalBlue.

Mitigaciones CVE-2020-0796 disponibles

Hasta que Microsoft lance una actualización de seguridad diseñada para parchear la vulnerabilidad CVE-2020-0796 RCE, Cisco Talos compartió que deshabilitar la compresión SMBv3 y bloquear el puerto TCP 445 en las computadoras cliente y los firewalls debería bloquear los ataques que intentan explotar la falla.

Si bien aún no se han lanzado exploits de prueba de concepto para este SMBv3 RCE, recomendamos implementar las medidas de mitigación compartidas por Cisco Talos hasta que Microsoft lance una actualización de seguridad fuera de ciclo para solucionarlo, ya que casi toda la información es fuera de todos modos.

Actualización: Microsoft publicó un aviso de seguridad con detalles sobre cómo deshabilitar la compresión SMBv3 para proteger los servidores contra los intentos de explotación.

Puede deshabilitar la compresión en servidores SMBv3 con este comando de PowerShell (no se requiere reiniciar, no evita la explotación de clientes SMB):

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

¿Qué pasos puedo tomar para proteger mi red?

1. Bloquee el puerto TCP 445 en el firewall perimetral de la empresa

El puerto TCP 445 se usa para iniciar una conexión con el componente afectado. Bloquear este puerto en el firewall del perímetro de la red ayudará a proteger los sistemas que están detrás de ese firewall de los intentos de aprovechar esta vulnerabilidad. Esto puede ayudar a proteger las redes de ataques que se originan fuera del perímetro de la empresa. Bloquear los puertos afectados en el perímetro de la empresa es la mejor defensa para ayudar a evitar ataques basados ​​en Internet. Sin embargo, los sistemas aún podrían ser vulnerables a los ataques desde el perímetro de su empresa.

2. Siga las pautas de Microsoft para evitar que el tráfico SMB abandone el entorno corporativo

Fuente: bleepingcomputer.com

Compartir