3 feb. 2017

Microsoft lanzará parche para vulnerabilidad 0-Day en SMB en febrero

El miércoles pasado el investigador Laurent Gaffie anunció en un tweet encontró una vulnerabilidad 0-Day en SMBv3 y publicó un exploit como Prueba de Concepto. US-CERT ha publicado advisory oficial para informar al respecto.

SMB es un servicio está disponible universalmente para los sistemas Windows y las versiones heredadas de los protocolos SMB podrían permitir a un atacante remoto obtener información confidencial de los sistemas afectados. Hay tres versiones de este protocolo, y Microsoft recomienda desactivar SMBv1 y pasar a SMBv2 o SMBv3 (preferido). Este 0-Day afecta a la última versión, SMBv3.

El protocolo SMB1 original tiene casi 30 años de antigüedad, y como gran parte del software hecho en los años 80, fue diseñado para un mundo que ya no existe. Un mundo sin actores maliciosos, sin vastos conjuntos de datos importantes, sin un uso casi universal del ordenador. Francamente, su ingenuidad es sorprendente cuando se ve a través de los ojos modernos.

Gaffie reveló en privado el problema a Microsoft el 25 de septiembre pasado y la empresa le dijo que tenía un parche listo para su lanzamiento en diciembre, pero decidió esperar hasta su actualización programada de febrero para liberar varios parches de SMB en lugar de una única solución en diciembre. Esto es porque Microsoft considera que la vulnerabilidad, un error de denegación de servicio que se puede activar remotamente, es de bajo riesgo.

Gaffie dijo que la vulnerabilidad es un Null Pointer Dereference en SMBy que afecta a Windows Server 2012 y 2016, así como los clientes Window7, 8 y 10. Aunque Gaffie dice que las conexiones SMB pueden realizarse a través de un puerto un 445 abierto, un análisis realizado entre él y Microsoft concluyó que no es posible realizar ejecución de código (RCE) y, como SMB generalmente no está expuesto a Internet, la vulnerabilidad tiene riesgo bajo.
Gaffie dijo que decidió publicar los detalles antes de la disponibilidad del parche porque no es su primera experiencia trabajando con Microsoft donde han retrasado el lanzamiento de la corrección.
Johannes Ulrich, Director del SANS Internet Storm Center, dijo que ejecutó el exploit de Gaffie y pudo confirmar que causa un DoS con un Blue Screen en mrxsmb20.sys.

"Las versiones modernas de Windows tienen varios mecanismos de protección para evitar la ejecución remota de exploits como este", dijo Ullrich. "Probablemente sería difícil, pero no necesariamente imposible".

El US-CERT ha confirmado que el exploit publicado funciona en sistemas Windows 10 y Windows 8.1 totalmente actualizados, así como en las versiones de servidor Windows Server 2016 y Windows Server 2012 R2. Microsoft y US-CERT recomiendan que los usuarios y administradores consideren:
  • Inhabilitar SMBv1.0
  • Bloquear en el firewall todas las conexiones SMB salientes del puerto TCP 445 y sus relacionados en los puertos UDP 137-138 y TCP 139.
Desde Powershell se puede deshabilitar el servicio en un servidor mediante el siguiente comando:
Remove-WindowsFeature FS-SMB1
En clientes Windows 7 a Windows 10 se puede utilizar:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Fuente: ThreatPost

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!