FlagMiércoles, 08 Abril 2020

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

malware calavera

 

Microsoft lanzó un parche para CVE-2020-0796, una vulnerabilidad crítica de ejecución remota de código en Server Message Block 3.1.1 (SMBv3) para Microsoft Windows 10 versiones 1903 y 1909 y Windows Server 1903 y 1909. La falla, denominada EternalDarkness, fue revelada por error el pasado martes de parches por otro proveedor de seguridad. El parche aborda la forma en que el protocolo SMBv3 maneja las solicitudes especialmente diseñadas, utilizando compresión.

Según Microsoft, un atacante sin privilegios podría aprovechar esta vulnerabilidad enviando un paquete especialmente diseñado a un servidor SMBv3 o infectando un servidor SMBv3 vulnerable. Para explotar un cliente SMB, el atacante necesitaría convencer a un usuario para que establezca una conexión con un servidor ya comprometido. La explotación exitosa de la vulnerabilidad le daría al atacante entrada a cualquier acción sobre el activo comprometido: el robo de información, la interrupción del servicio o el secuestro informático del activo para obtener una recompensa monetaria (ransomware) son solo algunos ejemplos. La característica de esta vulnerabilidad de poder ejecutar de forma remota, sin tener acceso físico a las computadoras, la hace especialmente peligrosa.

¨Antes del lanzamiento del parche, ya habíamos visto scripts de prueba de concepto para identificar instancias vulnerables, así como investigadores de seguridad que desarrollaban formas de explotar la falla. Con el parche ahora disponible, esperamos que estos esfuerzos continúen, ya que tanto la comunidad de seguridad como los actores de amenazas buscan un exploit funcional. Debido a que la vulnerabilidad afecta a versiones específicas de Windows 10 y Windows Server, el impacto de un exploit funcional será menos severo de lo que vimos en el caso de EternalBlue, que afectó a SMBv1, y tuvo una huella mucho mayor en todo el mundo. Sin embargo, Microsoft raramente repara una vulnerabilidad fuera de su ciclo de parche normal, lo que significa que las organizaciones y los usuarios deberían tomar esta vulnerabilidad muy en serio. Recomendamos urgentemente a todos los afectados que apliquen estos parches lo antes posible debido a la gravedad y el interés en la falla”. Comentó Satnam Narang, ingeniero de investigación principal en Tenable. 


A continuación el listado de las versiones de Microsoft Windows y Windows Server que se ven afectadas por esta vulnerabilidad:

Windows Server versión 1903 (instalación de Server Core)
Windows Server versión 1909 (instalación de Server Core)
Windows 10 versión 1903 para sistemas de 32 bits
Windows 10 versión 1903 para sistemas basados en ARM64
Windows 10 versión 1903 para sistemas x64
Windows 10 versión 1909 para sistemas de 32 bits
Windows 10 versión 1909 para sistemas basados en ARM64
Windows 10 versión 1909 para sistemas x64

Tenable Research recomienda las siguientes acciones para identificar y eliminar el riesgo:
1. Identificar los activos con la vulnerabilidad CVE-2020-0796 a través de un escaneo con los plugins 134420 (revisión local) y el plugin 134421 (revisión remota). Este último permite la identificación de la vulnerabilidad aún sin contar con credenciales privilegiadas para los sistemas. Pueden encontrarlas en tenable.com/plugins.
2. Deshabilitar la compresión de SMBv3 y bloquear el puerto TCP 445 en ambos sentidos en el firewall del perímetro.
3. Aplicar el parche en estos equipos.

¨ Tenable Research nuevamente se hace presente con la capacidad de identificar los activos con esta vulnerabilidad aún sin contar con credenciales o privilegios, lo cual facilita enormemente la identificación del riesgo en la organización de manera simplificada. Si bien estas soluciones evitarán la explotación a nivel del servidor, es importante tener en cuenta que las estaciones de trabajo deben ser parcheadas para evitar ser vulnerables ¨ Comentó Luis Isselin, Director General para Tenable en México