Windows 10
Las últimas ediciones de Windows 10, a saber, la v1903 y la v1909, contienen una vulnerabilidad de seguridad explotable que se puede utilizar para explotar el protocolo Server Message Block (SMB). Los servidores y clientes SMBv3 pueden comprometerse con éxito y usarse para ejecutar código arbitrario. Lo que es aún más preocupante es el hecho de que la vulnerabilidad de seguridad puede explotarse de forma remota utilizando algunos métodos simples.
Microsoft ha reconocido una nueva vulnerabilidad de seguridad en el protocolo Microsoft Server Message Block 3.1.1 (SMB). La compañía parece haber filtrado previamente los detalles accidentalmente durante las actualizaciones de Patch Tuesday de esta semana. los la vulnerabilidad se puede explotar de forma remota para ejecutar código en un servidor o cliente SMB. Esencialmente, este es un error preocupante de RCE (ejecución remota de código).
Microsoft confirma la vulnerabilidad de seguridad dentro de SMBv3:
en un aviso de seguridad publicado ayer, Microsoft explicó que la vulnerabilidad afecta a las versiones 1903 y 1909 de Windows 10 y Windows Server. Sin embargo, la empresa se apresuró a señalar que la falla aún no se ha aprovechado. Por cierto, la compañía supuestamente filtró los detalles sobre la vulnerabilidad de seguridad etiquetada como CVE-2020-0796. Pero mientras lo hacía, la empresa no publicó ningún detalle técnico. Microsoft simplemente ofreció breves resúmenes que describen el error. Al seleccionar las mismas, múltiples compañías de productos de seguridad digital que forman parte del Programa de Protecciones Activas de la compañía y obtener acceso temprano a la información de errores, publicó la información.
CVE-2020-0796: una vulnerabilidad SMBv3 'con gusanos'.
Excelente…
pic.twitter.com/E3uPZkOyQN
- MalwareHunterTeam (@malwrhunterteam) 10 de marzo de 2020
Es importante tener en cuenta que el error de seguridad SMBv3 aún no tiene un parche listo. Es evidente que Microsoft pudo haber planeado inicialmente lanzar un parche para esta vulnerabilidad, pero no pudo, y luego no pudo actualizar a los socios y proveedores de la industria. Esto llevó a la publicación de la vulnerabilidad de seguridad que aún se puede explotar en la naturaleza.
¿Cómo pueden los atacantes aprovechar la vulnerabilidad de seguridad SMBv3?
Si bien los detalles aún están surgiendo, los sistemas informáticos que ejecutan Windows 10 versión 1903, Windows Server v1903 (instalación Server Core), Windows 10 v1909 y Windows Server v1909 (instalación Server Core) se ven afectados. Sin embargo, es bastante probable que las versiones anteriores del sistema operativo Windows también sean vulnerables.
Un error crítico en la implementación de SMBv3 de Microsoft se publicó en circunstancias misteriosas. https://t.co/8kGcNEpw7R
- Zack Whittaker (@zackwhittaker) 11 de marzo de 2020
Al explicar el concepto básico y el tipo de vulnerabilidad de seguridad de SMBv3, Microsoft señaló: “Para aprovechar la vulnerabilidad contra un servidor SMB, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 objetivo. Para aprovechar la vulnerabilidad contra un cliente SMB, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer al usuario de que se conecte a él '.
Si bien los detalles son un poco escasos, los expertos indican que el error SMBv3 podría permitir a los atacantes remotos tomar el control total de los sistemas vulnerables. Además, la vulnerabilidad de seguridad también podría ser desparasitable. En otras palabras, los atacantes podrían automatizar los ataques a través de servidores SMBv3 comprometidos y atacar varias máquinas.
¿Cómo proteger el sistema operativo Windows y los servidores SMBv3 de una nueva vulnerabilidad de seguridad?
Microsoft puede haber reconocido la existencia de una vulnerabilidad de seguridad dentro de SMBv3. Sin embargo, la empresa no ha ofrecido ningún parche para protegerlo. Los usuarios pueden deshabilitar la compresión SMBv3 para evitar atacantes de aprovechar la vulnerabilidad contra un servidor SMB. El comando simple para ejecutar dentro de PowerShell es el siguiente:
Set-ItemProperty -Path “HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 1 -Force
Para deshacer la protección temporal contra la vulnerabilidad de seguridad SMBv3, ingrese el siguiente comando:
Set-ItemProperty -Path “HKLM: SYSTEM CurrentControlSet Services LanmanServer Parameters” DisableCompression -Type DWORD -Value 0 -Force
Muchas empresas NO son vulnerables a # SMBv3 CVE-2020-0796, todavía ejecutan Windows XP / 7 y Server 2003/2008. #SmbGhost #CoronaBlue pic.twitter.com/uONXfwWljO
- CISOwithHoodie (@SecGuru_OTX) 11 de marzo de 2020
Es importante señalar que el método no es completo y simplemente retrasará o disuadirá al atacante. Microsoft recomienda bloquear el puerto TCP '445' en los firewalls y los equipos cliente. “Esto puede ayudar a proteger las redes de ataques que se originan fuera del perímetro empresarial. Bloquear los puertos afectados en el perímetro de la empresa es la mejor defensa para ayudar a evitar ataques basados en Internet ”, aconsejó Microsoft.
Etiquetas Ventanas ventanas 10
