Más de 100.000 máquinas siguen siendo vulnerables a la explotación de SMBGhost


El parche para la falla crítica que permite que el malware se propague por las máquinas sin la interacción del usuario se lanzó hace meses.

Aunque Microsoft emitió un parche para la vulnerabilidad crítica SMBGhost en el protocolo Server Concept Block (SMB) en marzo, más de 100,000 máquinas siguen siendo susceptibles a ataques que explotan la falla. Esta vulnerabilidad de ejecución remota de código (RCE) con gusanos podría permitir que los sombreros negros propaguen malware entre las máquinas sin necesidad de la interacción del usuario.

La gravedad del error que afecta a Windows 10 y Windows Server (versiones 1903 y 1909) debería haber convencido a todos de que parcheen sus máquinas de inmediato. Sin embargo, según Jan Kopriva, quien reveló sus hallazgos sobre el Foros de SANS ISC Infosec, ese no parece ser el caso.

“No estoy seguro de qué método utiliza Shodan para determinar si una determinada máquina es vulnerable a SMBGhost, pero si su mecanismo de detección es preciso, parecería que todavía hay más de 103 000 máquinas afectadas accesibles desde Online. Esto significaría que una máquina susceptible se esconde detrás de aproximadamente el 8% de todas las IP que tienen el puerto 445 abierto ”, dijo Kopriva.

La vulnerabilidad SMBGhost, rastreada como CVE-2020-0796, está clasificado como crítico y tiene la puntuación «perfecta» de 10 en la escala Prevalent Vulnerability Scoring Process (CVSS). Tras el descubrimiento, la falla se consideró tan grave que en lugar de lanzar una solución como parte de su paquete recurring de Patch Tuesday, Microsoft emitió un parche fuera de banda.

LECTURA RELACIONADA: Vulnerabilidades, exploits y parches

“Para aprovechar la vulnerabilidad contra un servidor, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 de destino. Para aprovechar la vulnerabilidad contra un cliente, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario de que se conecte a él «. dijo Microsoft al emitir el parche.

Eso fue en marzo, y pronto surgieron exploits disponibles públicamente, aunque lograron «solo» una escalada de privilegios locales. Sin embargo, tres meses después, se lanzó la primera prueba de concepto (PoC) para lograr RCE, lo que atrajo inmediatamente la atención generalizada. Incluso los Estados Unidos Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) tomó nota y publicó una advertencia de que los actores de amenazas malintencionadas estaban utilizando la PoC para explotar la vulnerabilidad y apuntar a los sistemas sin parches.

También vale la pena señalar que SMBGhost se puede usar en conjunto con otra vulnerabilidad que afecta al protocolo SMBv3: SMBleed. Según los investigadores de ZecOps que descubrieron el último defecto, un ciberdelincuente que pueda combinar las dos vulnerabilidades podría lograr la ejecución remota de código previo a la autenticación.

A riesgo de decir lo obvio, los administradores y usuarios que aún no han parcheado sus sistemas deberían hacerlo más temprano que tarde.





Enlace a la noticia first