Microsoft finalmente lanzó una actualización de software de emergencia para parchear la vulnerabilidad muy peligrosa recientemente revelada en el protocolo SMBv3 que podría permitir a los atacantes lanzar malware malicioso , que puede propagarse automáticamente de una computadora vulnerable a otra.
La vulnerabilidad, rastreada como CVE-2020-0796 , en cuestión es un error de ejecución remota de código que afecta a Windows 10 versión 1903 y 1909, y Windows Server versión 1903 y 1909.
Server Message Block (SMB), que se ejecuta sobre el puerto TCP 445, es un protocolo de red que ha sido diseñado para permitir el intercambio de archivos, la navegación en red, los servicios de impresión y la comunicación entre procesos a través de una red.
La última vulnerabilidad, para la cual una actualización de parche ( KB4551762 ) ahora está disponible en el sitio web de Microsoft, existe en la forma en que el protocolo SMBv3 maneja las solicitudes con encabezados de compresión, lo que hace posible que los atacantes remotos no autenticados ejecuten código malicioso en servidores o clientes objetivo con SYSTEM privilegios
Los encabezados de compresión son una característica que se agregó al protocolo afectado de los sistemas operativos Windows 10 y Windows Server en mayo de 2019, diseñado para comprimir el tamaño de los mensajes intercambiados entre un servidor y los clientes conectados a él.
«Para explotar la vulnerabilidad contra un servidor, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 específico. Para explotar la vulnerabilidad contra un cliente, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte a «, dijo Microsoft en el aviso .
Al momento de escribir, solo existe un exploit PoC conocido para esta falla crítica explotable remotamente, pero la ingeniería inversa de nuevos parches ahora también podría ayudar a los piratas informáticos a encontrar posibles vectores de ataque para desarrollar malware autopropagante totalmente armado.
Un equipo separado de investigadores también ha publicado un análisis técnico detallado de la vulnerabilidad, concluyendo un desbordamiento del grupo de kernel como la causa raíz del problema.
A partir de hoy, hay casi 48,000 sistemas Windows vulnerables a la última vulnerabilidad de compresión SMB y accesibles a través de Internet.
Dado que ahora se puede descargar un parche para la falla SMBv3 que se puede eliminar para las versiones afectadas de Windows, es muy recomendable que los usuarios domésticos y las empresas instalen actualizaciones lo antes posible, en lugar de limitarse a confiar en la mitigación.
En los casos en que la actualización de parche inmediata no sea aplicable, se recomienda al menos desactivar la función de compresión SMB y bloquear el puerto SMB para las conexiones entrantes y salientes para ayudar a prevenir la explotación remota.
Fuente: thehackernews.com