Los investigadores de seguridad cibernética descubrieron hoy una nueva vulnerabilidad crítica que afecta el protocolo del Bloque de mensajes del servidor (SMB) que podría permitir a los atacantes perder la memoria del núcleo de forma remota, y cuando se combina con un error «wormable» previamente divulgado, la falla puede ser explotada para lograr ataques de ejecución remota de código.

Apodado » SMBleed » ( CVE-2020-1206 ) por la empresa de seguridad cibernética ZecOps, el defecto reside en la función de descompresión de SMB, la misma función que con el error SMBGhost o EternalDarkness ( CVE-2020-0796 ), que salió a la luz hace tres meses, potencialmente abriendo sistemas vulnerables de Windows a ataques de malware que pueden propagarse a través de redes.

La vulnerabilidad recién descubierta afecta las versiones de Windows 10 1903 y 1909, para las cuales Microsoft lanzó hoy parches de seguridad como parte de sus actualizaciones mensuales de Patch Tuesday para junio.

El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió un aviso la semana pasada advirtiendo a los usuarios de Windows 10 que actualicen sus máquinas después de que el código de explotación para el error SMBGhost se publicara en línea la semana pasada.

SMBGhost se consideró tan grave que recibió una puntuación máxima de 10.

Vulnerabilidad de SMBleed

«Aunque Microsoft reveló y proporcionó actualizaciones para esta vulnerabilidad en marzo de 2020, los ciber actores maliciosos están apuntando a sistemas no parcheados con el nuevo PoC , según informes recientes de código abierto», dijo CISA .

SMB, que se ejecuta sobre el puerto TCP 445, es un protocolo de red que proporciona la base para compartir archivos, navegar por la red, servicios de impresión y comunicación entre procesos a través de una red.

Según los investigadores de ZecOps, la falla se debe a la forma en que la función de descompresión en cuestión (» Srv2DecompressData «) maneja las solicitudes de mensajes especialmente diseñados (por ejemplo, SMB2 WRITE) enviado a un servidor SMBv3 de destino, lo que permite a un atacante leer la memoria del núcleo no inicializada y realizar modificaciones en la función de compresión.

«La estructura del mensaje contiene campos como la cantidad de bytes para escribir y marcas, seguidos de un búfer de longitud variable», dijeron los investigadores. «Eso es perfecto para explotar el error, ya que podemos crear un mensaje que especifique el encabezado, pero el búfer de longitud variable contiene datos no inicializados».

«Un atacante que explotó con éxito la vulnerabilidad podría obtener información para comprometer aún más el sistema del usuario. Para explotar la vulnerabilidad contra un servidor, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 específico», dijo Microsoft en su aviso.

«Para aprovechar la vulnerabilidad contra un cliente, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte a él».

embrollado

Peor aún, SMBleed se puede encadenar con SMBGhost en sistemas Windows 10 sin parches para lograr la ejecución remota de código. La firma también ha lanzado un código de explotación de prueba de concepto que demuestra los defectos .

seguridad de windows

Para mitigar la vulnerabilidad, se recomienda que los usuarios domésticos y empresariales instalen las últimas actualizaciones de Windows lo antes posible.

Para sistemas donde el parche no es aplicable, se recomienda bloquear el puerto 445 para evitar el movimiento lateral y la explotación remota.

La guía de seguridad de Microsoft sobre SMBleed y SMBGhost en Windows 10 versión 1909 y 1903 y Server Core para las mismas versiones se puede encontrar en el link original a continuación.

Fuente y redacción: thehackernews.com

Compartir