Microsoft finalmente lanzó hoy una actualización de software de emergencia para parchear la vulnerabilidad muy peligrosa recientemente revelada en el protocolo SMBv3 que podría permitir que los atacantes inicien software malintencionadoque puede propagarse de una computadora vulnerable a otra automáticamente.
La vulnerabilidad, rastreada como CVE-2020-0796en cuestión es una falla de ejecución remota de código que afecta a Windows 10 versión 1903 y 1909, y Windows Server versión 1903 y 1909.
Server Message Block (SMB), que se ejecuta en el puerto TCP 445, es un protocolo de red diseñado para permitir el uso compartido de archivos, la exploración de redes, los servicios de impresión y la comunicación entre procesos a través de una red.
La última vulnerabilidad, para la cual ya está disponible una actualización de parche (KB4551762) en el sitio web de Microsoft, existe en la forma en que el protocolo SMBv3 maneja las solicitudes con encabezados de compresión, lo que hace posible que atacantes remotos no autenticados ejecuten código malicioso en servidores objetivo o clientes con SYSTEM privilegios
La compresión de encabezados es una función que se agregó al protocolo afectado de los sistemas operativos Windows 10 y Windows Server en mayo de 2019, diseñada para comprimir el tamaño de los mensajes intercambiados entre un servidor y los clientes conectados a él.
«Para explotar la vulnerabilidad contra un servidor, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 objetivo. Para aprovechar la vulnerabilidad contra un cliente, un atacante no autenticado podría necesitar configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte a «, dijo Microsoft en el aviso.
Al momento de escribir, solo hay uno conocido. Explotación de PoC que existe para esta falla crítica explotable de forma remota, pero los nuevos parches de ingeniería inversa ahora también podrían ayudar a los piratas informáticos a encontrar posibles vectores de ataque para desarrollar malware autopropagante completamente armado.
Un equipo separado de investigadores también publicó un análisis técnico detallado de la vulnerabilidad, concluyendo que un desbordamiento del grupo del kernel es la causa raíz del problema.
A día de hoy, hay casi 48.000 sistemas Windows vulnerable a la última vulnerabilidad de compresión SMB y accesible a través de Internet.
Dado que ahora está disponible para descargar un parche para la falla SMBv3 que funciona con gusanos para las versiones afectadas de Windows, se recomienda enfáticamente que los usuarios domésticos y las empresas instalen las actualizaciones lo antes posible, en lugar de simplemente confiar en la mitigación.
En los casos en que la actualización inmediata de parches no sea aplicable, se recomienda al menos deshabilitar la función de compresión SMB y bloquear el puerto SMB para las conexiones entrantes y salientes para ayudar a prevenir la explotación remota.
