CVE-2020-0796 Nueva vulnerabilidad de Ejecución Remota de Código en #Windows #SMBv3 Cliente/Servidor

Una nueva vulnerabilidad de SMB se ha hecho pública recientemente, permitiendo la ejecución Remota de Código (RCE) en los sistemas operativos Windows 10 y Windows Server. Esta vulnerabilidad es relevante, debido a que es “gusaneable”. Esto significa que un malware podría explotar esta vulnerabilidad para propagarse entre equipos vulnerables, algo similar a WannaCry, pero con menor alcance. 

 

El CVE-2020-0796, ya conocido como SMBGhost, es una vulnerabilidad que afecta la manera en la que el protocolo Microsoft Server Message Block 3.1.1 (SMBv3) maneja ciertas peticiones. Microsoft indica que “un atacante que explote con éxito la vulnerabilidad, podría ejecutar código tanto del lado del servidor, como del lado del cliente”. Para explotar la vulnerabilidad contra un servidor, un atacante podría enviar un paquete especialmente diseñado contra un servidor SMBv3 objetivo. Mientras que, para explotar esta vulnerabilidad contra un cliente, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte al servidor.

¿Qué sistemas operativos son vulnerables?

SMBv3 fue introducido en Windows 8 y Windows Server 2012, pero SMBv3 compression, fue agregada en la actualización de Windows 1903+, por lo que el alcance de esta vulnerabilidad se encuentra acotado a los sistemas operativos Windows 10 versión 1903+ y Windows Server versión 1903+. En concreto, las versiones afectadas son las siguientes:

• Windows 10 Version 1903 for 32-bit Systems
• Windows 10 Version 1903 for ARM64-based Systems
• Windows 10 Version 1903 for x64-based Systems
• Windows 10 Version 1909 for 32-bit Systems
• Windows 10 Version 1909 for ARM64-based Systems
• Windows 10 Version 1909 for x64-based Systems
• Windows Server, version 1903 (Server Core installation)
• Windows Server, version 1909 (Server Core installation)      

¿Qué herramientas existen para la detección de servidores vulnerables?

Ollypwn ha publicado una herramienta escrita en Python para buscar servidores vulnerables:

• https://github.com/ollypwn/SMBGhost

Sysgoblin ha publicado su versión en PowerShell:

• https://gist.github.com/sysgoblin/c414ad12a8ba144c4fc7f5f439bb2e59

Y Nikallass ha publicado también una versión en bash para nmap:

• https://gist.github.com/nikallass/40f3215e6294e94cde78ca60dbe07394

¿La solución?

Microsoft acaba de publicar los parches de seguridad para protegerse contra esta vulnerabilidad. Pueden accederse mediante el siguiente en enlace

¿Soluciones alternativas al parche de seguridad?

Aunque Microsoft recomienda instalar los parches de seguridad, existe una solución alternativa que consiste en desactivar la compresión en SMBv3. Con esta solución, se logra desactivar la compresión para bloquear que los atacantes no autenticados, exploten esta vulnerabilidad. El comando en PowerShell para ello serías el siguiente:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Para más información sobre esta vulnerabilidad, pueden consultar la publicación de Microsoft.

¡Saludos!