2020-0796 – Una vulnerabilidad de ejecución remota de código «wormable» en SMB v3


Tiempo estimado de lectura: 2 minutos

Desde los últimos dos días, World wide web está repleto de noticias sobre una vulnerabilidad crítica de ejecución remota de código en el mecanismo de compresión SMBv3.1.1. Hoy, a las 12th Marzo de 2020 Microsoft lanzó una emergencia parche fuera de banda para abordar esta vulnerabilidad.

Según la información de lanzamiento de Microsoft, es una vulnerabilidad de ejecución remota de código en la forma en que el protocolo Microsoft Server Information Block 3.1.1 (SMBv3) maneja ciertas solicitudes. Un atacante que aprovechó con éxito la vulnerabilidad podría obtener la capacidad de ejecutar código en el servidor o cliente de destino.

Para explotar la vulnerabilidad contra un servidor, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 específico. Aconsejamos a los clientes que deshabiliten el acceso de SMB a sus hosts de Windows desde direcciones IP públicas / desconocidas a menos que sea necesario.

Para aprovechar la vulnerabilidad contra un cliente, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte a él. Aconsejamos a los clientes que se abstengan de acceder a recursos compartidos o archivos SMB no confiables alojados en dichos recursos compartidos SMB no confiables.

El hecho de que la ejecución remota de código sea posible y que no se requiera autenticación hace que esta vulnerabilidad sea muy crítica. Pero, aunque esta vulnerabilidad se está comparando con una vieja vulnerabilidad infame de SMB v1 «CVE-2017-0144» que se usó en WannaCry, no tenemos datos para determinar esto a partir de ahora. Microsoft ha reconocido este hallazgo de vulnerabilidad al equipo de «Investigación de seguridad y vulnerabilidad de seguridad de plataforma de Microsoft» y ha mencionado que no se explota públicamente como en 12th Marzo de 2020. Aunque hay pocos scripts de escáner disponibles en línea, que pueden determinar si un host es susceptible a esta vulnerabilidad, no hay exploits públicos disponibles al momento de publicar este aviso.

Todos los clientes de Fast Heal y Seqrite están protegidos contra ataques que aprovechan esta vulnerabilidad a través de nuestras reglas IPS. Para mantener seguros sus hosts, instamos a todos nuestros clientes a mantener actualizadas las definiciones de virus de sus productos Quick Recover / Seqrite. Además, según las mejores prácticas, aplique los parches oficiales de Microsoft lo antes posible.

¿Tienes algo que agregar a esta historia? Compártelo en el



Enlace a la noticia authentic