miércoles, 11 de marzo de 2020

Vulnerabilidad día cero en SMBv3 de Microsoft permite ejecución remota de código en sistemas Windows; no hay parche disponible

Las malas noticias siguen llegando para Microsoft. Un reporte de los investigadores de un curso de ciberseguridad reveló que el gigante tecnológico reveló, de forma accidental, información confidencial sobre una vulnerabilidad en el protocolo Microsoft Server Message Block (SMB).

La vulnerabilidad, identificada como CVE-2020-0796, es un problema de ejecución pre-remota de código presente en la versión 3.0 del protocolo que no ha sido corregida por la compañía a pesar de haber recibido el informe con anterioridad.

Acorde a los miembros del curso de ciberseguridad, la falla existe debido a un error en la forma en la que SMBv3 administra paquetes de datos comprimidos creados con fines maliciosos. Los actores de amenazas podrían explotar la vulnerabilidad para ejecutar código arbitrario en el contexto de la aplicación objetivo. Al respecto, la firma de seguridad Fortinet publicó un informe mencionando repetidos intentos por explotar una vulnerabilidad de desbordamiento de búfer en servidores SMB relacionados con CVE-2020-0796.

La firma de seguridad también mencionó que la vulnerabilidad afecta a cualquier dispositivo ejecutando Windows 10 versión 1903, Windows Server versión 1903, Windows 10 versión 1909 y Windows Server 1909, aunque es altamente probable que se detecte la presencia de la falla en otras versiones del sistema operativo.  

Los reportes sobre vulnerabilidades en el protocolo SMB son una preocupación constante para la comunidad pues, como indican los expertos del curso de ciberseguridad, las fallas en este protocolo fueron un factor fundamental para la expansión de las infecciones de ransomware WannaCry y NotPetya hace un par de años.

Finalmente Microsoft reconoció la falla este 10 de marzo, agregando que los hackers maliciosos podrían explotarla para llevar a cabo la ejecución remota de código.

Es importante recalcar que todavía no hay una solución disponible para corregir esta falla. Acorde al Instituto Internacional de Seguridad Cibernética (IICS), una solución alternativa para mitigar el riesgo de explotación consiste en inhabilitar la compresión SMBv3 y bloquear el puerto TCP 455.  

Para inhabilitar la compresión SMBv3, los administradores de implementaciones expuestas pueden seguir los siguientes pasos:

  • Ir a: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters
  • Crear un valor DWORD
  • Establecer ese valor como “0”

Se espera que la compañía tenga lista una corrección para esta falla en su próximo paquete de actualizaciones, por lo que se recomienda a los administradores de sistemas permanecer alertas ante cualquier nueva información.

El cargo Vulnerabilidad día cero en SMBv3 de Microsoft permite ejecución remota de código en sistemas Windows; no hay parche disponible apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

No hay comentarios.:

Publicar un comentario