12 mar 2020

Vulnerabilidad crítica en SMBv3 de Windows 10 (Parchea!)

Microsoft finalmente lanzó una actualización de emergencia para parchear la vulnerabilidad recientemente revelada en el protocolo SMBv3 (SMBGhost) que podría permitir a los atacantes lanzar malware y que puede propagarse automáticamente de una computadora vulnerable a otra.

La vulnerabilidad, rastreada como CVE-2020-0796, es una falla de ejecución remota de código que afecta a Windows 10 versión 1903 y 1909, y Windows Server versión 1903 y 1909.

En este momento se cuentan casi 48.000 sistemas Windows vulnerables y accesibles a través de Internet.

Server Message Block (SMB), que se ejecuta sobre el puerto TCP 445, es un protocolo de red que ha sido diseñado para permitir el intercambio de archivos, la exploración de la red, los servicios de impresión y la comunicación entre procesos a través de una red.

La última vulnerabilidad, para la cual una actualización de parche (KB4551762) ahora está disponible en el sitio web de Microsoft, existe en la forma en que el protocolo SMBv3 maneja las solicitudes con encabezados de compresión, lo que hace posible que los atacantes remotos no autenticados ejecuten código malicioso en servidores o clientes objetivo con privilegios SYSTEM.

Los encabezados de compresión son una característica que se agregó al protocolo afectado de los sistemas operativos Windows 10 y Windows Server en mayo de 2019, diseñado para comprimir el tamaño de los mensajes intercambiados entre un servidor y los clientes conectados a él.
Para explotar la vulnerabilidad contra un servidor, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 específico. Para explotar la vulnerabilidad contra un cliente, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte, dijo Microsoft en el aviso.
Al momento de escribir, solo existe un exploit PoC conocido para esta falla crítica explotable remotamente, pero la ingeniería inversa de nuevos parches ahora también podría ayudar a los atacantes a encontrar posibles nuevos vectores para desarrollar malware autopropagante totalmente armado.
Un equipo separado de investigadores también ha publicado un análisis técnico detallado de la vulnerabilidad, concluyendo en un kernel pool overflow como la causa raíz del problema.

Dado que ahora se puede descargar un parche para la falla SMBv3 que se puede eliminar para las versiones afectadas de Windows, es muy recomendable que los usuarios domésticos y las empresas instalen actualizaciones lo antes posible, en lugar de limitarse a confiar en la mitigación.

En los casos en que la actualización inmediata de parches no es aplicable, se recomienda al menos deshabilitar la función de compresión SMB y bloquear el puerto SMB para las conexiones entrantes y salientes para ayudar a prevenir la explotación remota.

Ya se ha dado a conocer una herramienta para realizar el escaneo con Nmap y un script en Python.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!