Microsoft revela una nueva falla de ejecución remota en SMBv3



Un parche para la falla aún no está disponible, pero no hay exploits conocidos, hasta ahora.

Entre las vulnerabilidades más críticas que Microsoft reveló ayer había una que, irónicamente, no se incluyó en su actualización programada para el martes de parches y para la cual todavía no hay un parche disponible.

La vulnerabilidad existe en el protocolo del Bloque de mensajes del servidor (SMB) de Microsoft (SMBv3) y ha generado cierta preocupación acerca de los actores de amenazas que potencialmente lo usan para lanzar exploits «wormable» de la variedad WannaCry.

La falla es remotamente ejecutable. Permite a los atacantes obtener un manage completo de los sistemas vulnerables y ejecutar código arbitrario en ellos dentro del contexto de la aplicación, según Fortinet, uno de los que advirtió sobre el problema el martes.

UN Aviso de Microsoft describió la vulnerabilidad como de gravedad crítica e impacto en múltiples versiones de Windows 10 y Home windows Server. «Para aprovechar la vulnerabilidad contra un cliente SMB, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte a él», dijo Microsoft.

Dado que actualmente no hay parches disponibles para la falla, Microsoft recomienda que las organizaciones deshabiliten la compresión SMBv3 para evitar que los atacantes no autenticados exploten la vulnerabilidad. Sin embargo, esa solución individual no protege a los clientes SMB contra la explotación. Para eso, Microsoft recomienda que las organizaciones bloqueen el puerto TCP 445 en el firewall de la empresa.

«Bloquear este puerto en el firewall del perímetro de la purple ayudará a proteger los sistemas que están detrás de ese firewall de los intentos de explotar esta vulnerabilidad», dijo la compañía, aunque seguirían siendo vulnerables a los ataques desde el interior del perímetro.

Microsoft insta a todas las organizaciones a instalar actualizaciones para la vulnerabilidad lo antes posible después de que estén disponibles, incluso aquellas organizaciones que han implementado las soluciones recomendadas.

No se sabe que ningún exploit para la vulnerabilidad esté disponible actualmente. Aun así, las organizaciones con servicios SMB expuestos, generalmente el puerto 445, están en riesgo inmediato, dice Jonathan Knudsen, estratega de seguridad senior de Synopsys.

El protocolo SMB permite a los sistemas Home windows compartir impresoras de archivos, por ejemplo. Las organizaciones a menudo dejan el servicio habilitado en los sistemas conectados a World wide web, dando a los atacantes una entrada potencial a sus redes. En los últimos años, los atacantes han utilizado exploits como el EternalBlue desarrollado por la NSA para propagar el malware a través de un sistema susceptible al siguiente de una manera muy efectiva.

«Para mitigar este riesgo, deberían deshabilitar el servicio por completo o seguir los consejos de Microsoft para deshabilitar la compresión hasta que haya una solución disponible», dice Knudsen. «Las computadoras cliente serán vulnerables hasta que haya una solución disponible, por lo que las organizaciones interesadas deberían reducir o suspender su uso de SMB hasta ese momento».

Divulgación inesperada
Microsoft se negó a comentarle a Dim Looking through por qué la vulnerabilidad no se reveló con todos los demás errores en la actualización del martes de parches ni a proporcionar otros detalles además de los contenidos en el aviso de seguridad.

Sin embargo, algunos sugieren que Microsoft podría haberse visto obligado a emitir el aviso después de que un par de proveedores de seguridad, Cisco Talos y Fortinet, revelaron detalles de la falla esta semana sin darse cuenta. Según Duo Safety, que también forma parte de Cisco, Microsoft comparte información sobre sus actualizaciones de seguridad con compañías de antivirus, proveedores de components y otros terceros de confianza.

Es posible que Cisco Talos y Fortinet tuvieran información sobre el problema SMBv3 y la publicaron pensando que sería parte del lanzamiento del Patch Tuesday, dijo el proveedor en un comunicado. Web site. «Si bien Cisco Talos y Fortinet han actualizado sus avisos para eliminar las referencias a la vulnerabilidad, suficientes personas vieron las descripciones», dijo Duo. Según Duo, los dos proveedores identificaron la vulnerabilidad como CVE-2020-0796 aunque Microsoft no se refirió a un identificador CVE en su aviso de seguridad.

UN Fortinet breve describió la vulnerabilidad como un problema de desbordamiento del búfer en el servidor SMB. «La vulnerabilidad se debe a un mistake cuando el computer software vulnerable maneja un paquete de datos comprimido creado con fines malintencionados», dijo el proveedor de seguridad al instar a las organizaciones a aplicar la actualización de Microsoft tan pronto como esté disponible.

«Idealmente, una línea de tiempo de divulgación coordinada tendría investigadores que revelen la vulnerabilidad al proveedor, el proveedor cree y publique una solución, y luego una divulgación pública coordinada de la vulnerabilidad», dice Knudsen. «Por alguna razón, ese proceso parece haber salido mal en este caso».

Thomas Hatch, CTO y cofundador de SaltStack, dice que las noticias sobre la última falla resaltan la necesidad de que las organizaciones aseguren adecuadamente los servicios para las PYMES. «SMB, como muchos de estos servicios, nunca debe exponerse a World-wide-web externo. Así es como se explotan estos tipos de vulnerabilidades», dice.

Además, dada la prevalencia de SMB, si se hace público un exploit, podría ser un gran problema para las empresas, advierte Charles Ragland, ingeniero de seguridad de Electronic Shadows. Además de las acciones recomendadas por Microsoft, las organizaciones deben seguir las mejores prácticas de seguridad.

«Desactive los servicios innecesarios, bloquee los puertos en el firewall y asegúrese de que existan medidas basadas en el host para evitar que los usuarios accedan / modifiquen los controles de seguridad», dice Ragland.

Contenido relacionado:

Echa un vistazo a The Edge, la nueva sección de Darkish Looking at para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Claves para contratar profesionales de ciberseguridad cuando la certificación no puede ayudar».

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más thoughts





Enlace a la noticia authentic