El nombre de la vulnerabilidad del mes es: SMBGhost
Como todos los segundos martes de cada mes, Microsoft a ha corregido varias vulnerabilidades, 117 en total, 25 de ellas criticas de sus sistemas.
Pero lo más curioso es el fallo que solo ha sido visible durante un tiempo (SMBGhost, lo llaman), CVE-2020-0796 en SMBv3. Un pequeño misterio que no trae buenos recuerdos a la comunidad.
Este CVE había sido reportado por Talos y Fortinet, no por Microsoft, durante un breve periodo de tiempo. Parece que tenían acceso a información privilegiada y Microsoft ha decidido, en el último minuto, no publicar el parche para este fallo, por lo que estas empresas han retirado el anuncio.
¿Qué fallo explota SMBGhost?
Se trata de un problema de ejecución de código malicioso en SMBv3, similar a la explotada por WannaCry pero en otras versiones del protocolo solo presentes en las versiones 1909 y 1903 de Windows 10.
Microsoft sí ha publicado un «advisory» (pero no un parche) sobre cómo deshabilitar la compresión de SMBv3. Esto refuerza la idea de que tenía un parche listo que ha retirado en el último momento.
Las plataformas afectadas son:
- Windows 10 Version 1903
- Windows 10 Version 1909
- Windows Server 1903
- Windows Server 1909
WannaCry explotaba un fallo bastante similar en la versión SMBv1. Este problema en la 3 (3.1.1 para ser exactos), del que ahora todos hablan, pero al parecer ni existe oficialmente, está en el componente de compresión de SMBv3, algo relativamente reciente.
Según Microsoft, la vulnerabilidad está relacionada con la forma en que SMB 3.1.1 maneja ciertas solicitudes y puede ser explotada por un atacante no autenticado para ejecutar código arbitrario en servidores y clientes SMB. La capacidad de compresión en SMB se introdujo a finales de 2019 con la versión 3.1.1 del protocolo (un «dialecto» del 3, le dicen) y el flag SMB3_compression_capabilities. La versión 2 ya la tenía, y aceleraba la compartición por red de los datos.
En los ataques dirigidos a servidores SMB, el atacante debe enviar paquetes especialmente diseñados al sistema de destino. En el caso de ataques de clientes, el atacante necesita convencer al usuario objetivo para que se conecte a un servidor SMBv3 malicioso.
Algunos han denominado la vulnerabilidad CoronaBlue, mientras que otros la llaman SMBGhost. Microsoft publicó un aviso para esta vulnerabilidad, que rastrea como CVE-2020-0796, cuando anunció las actualizaciones de Patch Tuesday para marzo.
¿Cómo reducir el riesgo de SMBGhost?
Microsoft ha publicado un aviso que recomienda que los usuarios deshabiliten la compresión SMBv3 hasta que puedan parchear. Los usuarios también pueden mitigar el riesgo bloqueando el puerto TCP 445 en los firewall perimetrales, pero esto aún permitiría lanzar ataques desde dentro de la red. Los usuarios también pueden seguir las pautas de Microsoft para evitar que el tráfico SMB salga de la red corporativa.
Para deshabilitar la compresión en servidores SMBv3, se puede utilizar este comando de PowerShell (no se requiere reiniciar, no evita la explotación de clientes SMB):
Set-ItemProperty -Path «HKLM: \SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» DisableCompression -Type DWORD -Value 1 -Force
Esta configuración no protege a los clientes, para los cuales la única medida efectiva es bloquear en el firewall las conexiones salientes al puerto 445/TCP fuera de la red local.
Finalmente, Microsoft ha publicado la actualización CVE-2020-0796, correspondiente a KB4551762. Se recomienda actualizar a la brevedad.
Desde Inycom ayudamos a las corporaciones a parchear sus sistemas y recomendamos, en estos días de teletrabajo forzoso, no habilitar conexiones RDP a recursos internos, sino realizar estas conexiones a través de túneles SSL.
Te presentamos algunas soluciones adecuadas para el teletrabajo
Social Links: