SMB es un protocolo de red utilizado para el acceso remoto a archivos, impresoras y otros recursos de red.
¿Qué pasó?
Recientemente Microsoft ha lanzado un parche de seguridad donde abordan 25 vulnerabilidades críticas, pero ese mismo día se ha filtrado una vulnerabilidad crítica identificada como CVE-2020-0796, el cual afecta sólo a los sistemas operativos recientes de Microsoft, en sus versiones:
- Windows 10, versión 1903 para sistemas de 32 bits.
- Windows 10, versión 1903 para sistemas basados en ARM64.
- Windows 10, versión 1903 para sistemas basados en x64.
- Windows 10, versión 1909 para sistemas de 32 bits.
- Windows 10, versión 1909 para sistemas basados en ARM64.
- Windows 10, versión 1909 para sistemas basados en x64.
- Windows Server, versión 1903 (instalación de Server Core).
- Windows Server, versión 1909 (instalación de Server Core).
La falla no afecta a versiones de Windows 7, 8, 8.1 o anteriores, y se da en el protocolo SMBv3 (Microsoft Server Message Block 3.1.1) y la forma en como este maneja ciertas solicitudes, la explotación exitosa de esta vulnerabilidad permitiría al atacante remoto no autenticado la ejecución de código en el contexto del usuario.
Según Microsoft, para explotar la vulnerabilidad contra un servidor SMBv3, un atacante remoto no autenticado podría enviar un paquete especialmente diseñado a al servidor específico, en cambio para aprovechar la vulnerabilidad contra un cliente SMBv3, el atacante necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte a él.
Además, la explotación de esta vulnerabilidad permite ataques del tipo “wormable”, es decir que sería fácil pasar de un ordenador a otro, por lo que cualquier malware “futuro” que logre explotarla podría propagarse de forma similar a como se propagó el WannaCry o NotPetya.
Recomendaciones:
- Aplicar el parche de seguridad que aborda esta vulnerabilidad lo antes posible, el mismo lo puede obtener desde el sitio oficial de Microsoft.
- Como medida alternativa para mitigar la vulnerabilidad, puede deshabilitar el protocolo SMBv3, para ello:
1. Abrir un Powershell con la combinación de teclas «Win + r», escribir «Powershell» y «Aceptar»
2. Para el caso de servidores SMBv3, ejecutar el siguiente comando en powershell:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force
Una vez el comando ha sido ejecutado, SMBv3 se habrá deshabilitado y no es necesario reiniciar el servidor.
3. La ejecución del comando no afecta a los clientes SMBv3, estos aún siguen siendo vulnerables, por lo que para los mismo Microsoft recomienda bloquear mediante el firewall de la empresa las conexiones TCP al puerto 445 que provengan de Internet, ya que este es el puerto utilizado por SMB para comunicarse. De esta manera, se evita que los atacantes sean capaces de aprovechar la vulnerabilidad.
Referencias:
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
- https://www.zdnet.com/article/details-about-new-smb-wormable-bug-leak-in-microsoft-patch-tuesday-snafu/
- https://www.incibe.es/protege-tu-empresa/avisos-seguridad/vulnerabilidad-smbv3-afecta-windows-10-y-windows-server
- https://www.helpnetsecurity.com/2020/03/11/cve-2020-0796/