CVE-2020-0796: Nueva vulnerabilidad en el protocolo SMB

Microsoft ha publicado un parche para la vulnerabilidad CVE-2020-0796, recién descubierta en el protocolo de red SMB 3.1.1.

Actualización del 12 de marzo
Una nueva vulnerabilidad RCE en Windows 10 y los sistemas operativos de Windows Server ha salido a la luz, la CVE-2020-0796 afecta al protocolo Microsoft Server Message Block 3.1.1 (SMBv3). Según Microsoft, un atacante puede explotar esta vulnerabilidad para ejecutar código de forma arbitraria del lado del servidor SMB o del cliente SMB. Para atacar al servidor, basta con enviar un paquete creado especialmente para ello. En lo que respecta al cliente, los atacantes tienen que configurar un servidor SMBv3 malicioso y persuadir a un usuario para que se conecte a él.

Los expertos en ciberseguridad consideran que la vulnerabilidad se puede utilizar para lanzar un gusano similar a WannaCry. Microsoft ha calificado esta vulnerabilidad como crítica, por lo que deberías cerrarla lo antes posible.

¿Quién está en peligro con esta vulnerabilidad?

SMB es un protocolo de red para el acceso remoto a archivos, impresoras y otros recursos de red. Se utiliza para implementar las funciones Microsoft Windows Network y Compartir impresoras y archivos. Si tu empresa utiliza estas funciones, tienes razones para preocuparte con esta nueva vulnerabilidad de Microsoft.

Microsoft Server Message Block 3.1.1 es un protocolo relativamente reciente, utilizado solo en los sistemas operativos nuevos:

  • Windows 10, versión 1903 para sistemas de 32 bits.
  • Windows 10, versión 1903 para sistemas basados en ARM64.
  • Windows 10, versión 1903 para sistemas basados en x64.
  • Windows 10, versión 1909 para sistemas de 32 bits.
  • Windows 10, versión 1909 para sistemas basados en ARM64.
  • Windows 10, versión 1909 para sistemas basados en x64.
  • Windows Server, versión 1903 (instalación de Server Core).
  • Windows Server, versión 1909 (instalación de Server Core).

La vulnerabilidad de SMB no afecta a Windows 7, 8, 8.1 o versiones anteriores. No obstante, las computadoras más modernas con instalación automática de actualizaciones ejecutan Windows 10, por lo que es probable que muchas computadoras, tanto domésticas como corporativas, sean vulnerables.

¿Están los atacantes explotando CVE-2020-0796?

De acuerdo con Microsoft, los atacantes todavía no han utilizado la vulnerabilidad CVE-2020-0796 o, al menos, nadie ha visto estos ataques. Pero el problema es que no existe parche todavía para CVE-2020-0796. Mientras, la información sobre esta vulnerabilidad se hizo pública desde el 10 de marzo, por lo que los exploits pueden aparecer en cualquier momento, si es que no lo han hecho ya.

¿Qué deberías hacer para evitar ser víctima de esta vulnerabilidad?

Actualización del 12 de marzo: Microsoft han publicado una actualización de seguridad que soluciona este problema. Puedes descargarlo aquí.

Como todavía no hay parche, tienes que cerrar la vulnerabilidad y eso requiere soluciones alternativas. Microsoft propone lo siguiente para bloquear la explotación de esta vulnerabilidad.

Para servidores SMB:

  • Puedes bloquear la explotación de una vulnerabilidad con el comando PowerShell:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force

Para clientes SMB:

  • Al igual que con WannaCry, Microsoft sugiere bloquear el puerto TPC 445 en el cortafuegos perimetral de la empresa.

También, asegúrate de utilizar una solución de seguridad de confianza como Kaspersky Endpoint Security for Business. Entre otras tecnologías, utiliza un subsistema de prevención de exploit que protege los equipos, incluso de vulnerabilidades desconocidas.

 

Consejos