Vulnerabilidad crítica de SMBv3 sin parche de Windows SMBGhost

12 Marzo 2020

Crítico

Amenaza

Microsoft filtró detalles de un error no parcheado que existe en el protocolo de comunicación de red Server Message Block versión 3 (SMBv3) informado como parte de la actualización lanzada el martes 10 de marzo de 2020 .

La falla se puede rastrear como CVE-2020-0796 y solo afecta a la versión de Windows 10 y la versión de Windows Server 1903 y 1909.

Aviso de seguridad de Microsoft:

"Microsoft es consciente de una vulnerabilidad de ejecución remota de código en la forma en que el protocolo Microsoft Server Message Block 3.1.1 (SMBv3) maneja ciertas solicitudes", dice el aviso. "Un atacante que explotara con éxito la vulnerabilidad podría obtener la capacidad de ejecutar código en el servidor SMB o el cliente SMB". Además Microsoft explica que "la vulnerabilidad existe en una nueva característica que se agregó a Windows 10 versión 1903" y que "las versiones anteriores de Windows no admiten la compresión SMBv3.1.1".

La vulnerabilidad reside en el protocolo SMBv3 que maneja cierta solicitud, un atacante podría aprovechar esta vulnerabilidad enviando un paquete especialmente diseñado a un servidor SMBv3 vulnerable.

Debido a la criticidad que supone esta vulnerabilidad, se estima que en el corto ciber actores implementarán herramientas que permitan la explotación de esta brecha de seguridad. No obstante, Microsoft ya se encuentra trabajando en el parcheado para ser divulgado a la brevedad.

El Centro de Ciberinteligencia de Entel CyberSecure mantendrá el seguimiento de los acontecimientos que puedan ocurrir en el futuro, sin embargo, reiteramos que lo más importante es que las medidas correctivas puedan ser tomadas a la brevedad en cuanto sean divulgadas.

Mitigación

Se recomienda lo siguiente:

Por ahora, no hay parche disponible para la vulnerabilidad, el SMBv3 seguirá siendo vulnerable hasta que se aplique el parche. Pero Microsoft sugirió soluciones alternativas como:
- Que los administradores del servidor deshabiliten la compresión, desactivando el protocolo SMBv3 para evitar que los atacantes no autenticados aprovechen la vulnerabilidad.
- El bloqueo del puerto TCP 445 puede evitar que los atacantes inicien la conexión con la máquina vulnerable.

El listado de las CVE se adjunta a continuación:

Listado CVE

CVE-2020-0796

Tags: #Microsoft #Vulnerabilidad #SMBv3 #SMB #SMBGhost

Fuentes utilizadas

https://gbhackers.com/wormable-windows-smbv3/

Productos Afectados

Producto	Versión
Windows 10 versión 1903	32 bits x64 basados en ARM64
Windows Server	versión 1903 (instalación Server Core) versión 1909 (instalación Server Core)
Windows 10 versión 1909	32 bits x64 basados en ARM64

Exploits disponibles

https://www.exploit-db.com/exploits/48537

https://www.exploit-db.com/exploits/48267

https://www.exploit-db.com/exploits/48216

Renuncia de Responsabilidad:

Utilice esta información bajo su propia responsabilidad! El Centro de Ciberinteligencia de Entel no se hace responsable por el uso indebido o pruebas de conceptos no controladas por parte del lector.