{"id":17873,"date":"2020-03-12T14:43:32","date_gmt":"2020-03-12T20:43:32","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=17873"},"modified":"2020-08-03T06:46:27","modified_gmt":"2020-08-03T12:46:27","slug":"smb-311-vulnerability","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/smb-311-vulnerability\/17873\/","title":{"rendered":"CVE-2020-0796: Nueva vulnerabilidad en el protocolo SMB"},"content":{"rendered":"<p><strong>Actualizaci\u00f3n del 12 de marzo<\/strong><br>\nUna <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/adv200005\" target=\"_blank\" rel=\"noopener nofollow\">nueva vulnerabilidad RCE<\/a> en Windows 10 y los sistemas operativos de Windows Server ha salido a la luz, la CVE-2020-0796 afecta al protocolo Microsoft Server Message Block 3.1.1 (SMBv3). Seg\u00fan Microsoft, un atacante puede explotar esta <strong>vulnerabilidad<\/strong> para ejecutar c\u00f3digo de forma arbitraria del lado del servidor SMB o del cliente SMB. Para atacar al servidor, basta con enviar un paquete creado especialmente para ello. En lo que respecta al cliente, los atacantes tienen que configurar un <strong>servidor SMBv3 malicioso<\/strong> y persuadir a un usuario para que se conecte a \u00e9l.<\/p>\n<p>Los <strong>expertos en ciberseguridad<\/strong> consideran que la vulnerabilidad se puede utilizar para lanzar un gusano similar a <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/wannacry-is-still-alive\/13726\/\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a><\/strong>. Microsoft ha calificado esta vulnerabilidad como cr\u00edtica, por lo que deber\u00edas cerrarla lo antes posible.<\/p>\n<h2><strong>\u00bfQui\u00e9n est\u00e1 en peligro con esta vulnerabilidad? <\/strong><\/h2>\n<p>SMB es un protocolo de red para el acceso remoto a archivos, impresoras y otros recursos de red. Se utiliza para implementar las funciones <em>Microsoft Windows Network<\/em> y <em>Compartir impresoras y archivos<\/em>. Si tu empresa utiliza estas funciones, tienes razones para preocuparte con esta <strong>nueva vulnerabilidad de Microsoft<\/strong>.<\/p>\n<p>Microsoft Server Message Block 3.1.1 es un protocolo relativamente reciente, utilizado solo en los sistemas operativos nuevos:<\/p>\n<ul>\n<li>Windows 10, versi\u00f3n 1903 para sistemas de 32 bits.<\/li>\n<li>Windows 10, versi\u00f3n 1903 para sistemas basados en ARM64.<\/li>\n<li>Windows 10, versi\u00f3n 1903 para sistemas basados en x64.<\/li>\n<li>Windows 10, versi\u00f3n 1909 para sistemas de 32 bits.<\/li>\n<li>Windows 10, versi\u00f3n 1909 para sistemas basados en ARM64.<\/li>\n<li>Windows 10, versi\u00f3n 1909 para sistemas basados en x64.<\/li>\n<li>Windows Server, versi\u00f3n 1903 (instalaci\u00f3n de Server Core).<\/li>\n<li>Windows Server, versi\u00f3n 1909 (instalaci\u00f3n de Server Core).<\/li>\n<\/ul>\n<p>La <strong>vulnerabilidad de SMB<\/strong> no afecta a Windows 7, 8, 8.1 o versiones anteriores. No obstante, las computadoras m\u00e1s modernas con instalaci\u00f3n autom\u00e1tica de actualizaciones ejecutan Windows 10, por lo que es probable que muchas computadoras, tanto dom\u00e9sticas como corporativas, sean vulnerables.<\/p>\n<h2><strong>\u00bfEst\u00e1n los atacantes explotando CVE-2020-0796?<\/strong><\/h2>\n<p>De acuerdo con Microsoft, los atacantes todav\u00eda no han utilizado la <strong>vulnerabilidad CVE-2020-0796<\/strong> o, al menos, nadie ha visto estos ataques. Pero el problema es que no existe parche todav\u00eda para CVE-2020-0796. Mientras, la informaci\u00f3n sobre esta vulnerabilidad se hizo p\u00fablica desde el 10 de marzo, por lo que los <em>exploits<\/em> pueden aparecer en cualquier momento, si es que no lo han hecho ya.<\/p>\n<h2><strong>\u00bfQu\u00e9 deber\u00edas hacer para evitar ser v\u00edctima de esta vulnerabilidad?<\/strong><\/h2>\n<p><strong>Actualizaci\u00f3n del 12 de marzo: <\/strong>Microsoft han publicado una actualizaci\u00f3n de seguridad que soluciona este problema. Puedes descargarlo <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-0796\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">aqu\u00ed<\/a>.<\/p>\n<p>Como todav\u00eda no hay parche, tienes que cerrar la vulnerabilidad y eso requiere soluciones alternativas. Microsoft propone lo siguiente para bloquear la explotaci\u00f3n de esta vulnerabilidad.<\/p>\n<h3>Para servidores SMB:<\/h3>\n<ul>\n<li>Puedes bloquear la explotaci\u00f3n de una vulnerabilidad con el comando PowerShell:<\/li>\n<\/ul>\n<p><strong>Set-ItemProperty -Path \u201cHKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters\u201d DisableCompression -Type DWORD -Value 1 \u2013Force<\/strong><\/p>\n<h3>Para clientes SMB:<\/h3>\n<ul>\n<li>Al igual que con WannaCry, Microsoft sugiere bloquear el puerto TPC 445 en el cortafuegos perimetral de la empresa.<\/li>\n<\/ul>\n<p>Tambi\u00e9n, aseg\u00farate de utilizar una <strong><a href=\"https:\/\/latam.kaspersky.com\/blog\/kaspersky-2020-security-solutions\/15167\/\" target=\"_blank\" rel=\"noopener\">soluci\u00f3n de seguridad<\/a><\/strong> de confianza como <a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for Business<\/a>. Entre otras tecnolog\u00edas, utiliza un subsistema de prevenci\u00f3n de <em>exploit<\/em> que protege los equipos, incluso de vulnerabilidades desconocidas.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft ha publicado un parche para la vulnerabilidad CVE-2020-0796, reci\u00e9n descubierta en el protocolo de red SMB 3.1.1.<\/p>\n","protected":false},"author":700,"featured_media":17875,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,2795,3539,6,3540],"tags":[49,3898,647,2954],"class_list":{"0":"post-17873","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-news","11":"category-smb","12":"tag-microsoft","13":"tag-smb","14":"tag-vulnerabilidades","15":"tag-wannacry"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/smb-311-vulnerability\/17873\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/smb-311-vulnerability\/19519\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/smb-311-vulnerability\/16096\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/smb-311-vulnerability\/8038\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/smb-311-vulnerability\/21128\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/smb-311-vulnerability\/19390\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/smb-311-vulnerability\/22070\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/smb-311-vulnerability\/20809\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/smb-311-vulnerability\/27594\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/smb-311-vulnerability\/7903\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/smb-311-vulnerability\/33991\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/smb-311-vulnerability\/14461\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/smb-311-vulnerability\/14532\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/smb-311-vulnerability\/13158\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/smb-311-vulnerability\/23259\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/smb-311-vulnerability\/11184\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/smb-311-vulnerability\/27846\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/smb-311-vulnerability\/25095\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/smb-311-vulnerability\/21803\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/smb-311-vulnerability\/27009\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/smb-311-vulnerability\/26848\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/17873","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=17873"}],"version-history":[{"count":5,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/17873\/revisions"}],"predecessor-version":[{"id":17883,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/17873\/revisions\/17883"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/17875"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=17873"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=17873"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=17873"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}