Detalles sobre la nueva fuga de error de SMB en el parche de Microsoft Patch Tuesday


microsoft windows parche de seguridad martes

Imagen: Geralt en Pixabay

Detalles sobre una nueva vulnerabilidad «wormable» en el Bloque de mensajes de Microsoft Server (SMB) el protocolo se filtró accidentalmente en línea hoy durante el preámbulo del ciclo normal de actualización de Patch Tuesday de Microsoft.

No se han publicado detalles técnicos, pero se han publicado breves resúmenes que describen el error en los sitios world-wide-web de dos empresas de ciberseguridad, Cisco Talos y Fortinet.

La falla de seguridad, rastreada como CVE-2020-0796, no se incluye con las actualizaciones del martes del parche de marzo de 2020 de este mes, y no está claro cuándo será parcheado.

Desbordamiento de búfer en SMBv3

De acuerdo con Fortinet, el error se describió como «una vulnerabilidad de desbordamiento del búfer en servidores SMB de Microsoft» y recibió una calificación de gravedad máxima.

«La vulnerabilidad se debe a un mistake cuando el computer software susceptible maneja un paquete de datos comprimido creado con fines malintencionados», dijo Fortinet. «Un atacante remoto no autenticado puede explotar esto para ejecutar código arbitrario dentro del contexto de la aplicación».

También se publicó una descripción similar: y luego eliminado – en una publicación de web site de Cisco Talos. La compañía dijo que «la explotación de esta vulnerabilidad abre los sistemas a un ataque &#39wormable&#39, lo que significa que sería fácil pasar de una víctima a otra».

La advertencia de un error que puede afectar a los soportes de SMB enviará escalofríos a algunos administradores de sistemas. Esto se debe a que SMB es el mismo protocolo que ayudó a las cepas de ransomware WannaCry y NotPetya a propagarse globalmente a través de un comportamiento related a un gusano durante la primavera y el verano de 2017.

No se esperan ataques en este momento

Sin embargo, actualmente no hay peligro para las organizaciones de todo el mundo. Solo se filtraron detalles sobre el mistake en línea, no el código de explotación true, como sucedió en 2017.

Aunque la filtración de hoy alertó a algunos actores malos sobre la presencia de un error importante en SMBv3, no se espera que los intentos de explotación comiencen pronto.

Además, también hay otros aspectos positivos. Por ejemplo, este nuevo «error SMB wormable» solo afecta a SMBv3, la última versión del protocolo, incluida solo con versiones recientes de Windows.

Más específicamente, Fortinet solo enumera Home windows 10 v1903, Home windows10 v1909, Home windows Server v1903 y Windows Server v1909 como afectados por el nuevo mistake CVE-2020-0796.

No está claro cómo ocurrió la fuga

Cómo y por qué los detalles sobre una vulnerabilidad tan crítica filtrada en línea sigue siendo un misterio, al menos por ahora. Microsoft no devolvió una solicitud de comentarios antes de la publicación de este artículo.

Actualmente hay dos teorías sobre cómo pudo haber sucedido esto. El primero involucra el Marco común de informes de vulnerabilidad (CVRF) y el Programa de protección activa de Microsoft (MAPP).

Esto se refiere a los detalles de uso compartido de Microsoft sobre los próximos parches con socios confiables de la industria, como los fabricantes de antivirus y los proveedores de hardware.

La teoría es que Microsoft podría haber compartido una lista de vulnerabilidades próximas, pero luego eliminó el error de la lista con poco tiempo para algunos proveedores, como Cisco Talos y Fortinet, para actualizar sus propios avisos de seguridad.

La segunda es que la información sobre CVE-2020-0796 se compartió accidentalmente a través de la API de Microsoft, que algunos proveedores de antivirus, administradores de sistemas y reporteros recopilan para obtener información sobre los parches de Patch Tuesday, tan pronto como salen.

La teoría es que el error podría haber sido inicialmente programado para recibir un parche este mes, pero luego se eliminó sin embargo, sin ser eliminado de la API, y eventualmente llegar a los avisos de Talos y Fortinet.

Microsoft no devolvió una solicitud de comentarios sobre cuándo se entregará un parche para CVE-2020-0796.

Hasta entonces, el consejo ahora eliminado de Cisco Talos sigue siendo el consejo más confiable para tratar cualquier situación inesperada en relación con este error.

«Se alienta a los usuarios a deshabilitar la compresión SMBv3 y bloquear el puerto TCP 445 en los firewalls y las computadoras cliente».

A la luz del parcheo, algunos investigadores de seguridad ahora han comenzado a llamar al error SMBGhost, como todos saben, el mistake está ahí, pero nadie puede verlo.





Enlace a la noticia initial