Windows tiene una nueva vulnerabilidad de gusanos


La palabra se filtró Martes de una nueva vulnerabilidad en versiones recientes de Windows que tiene el potencial de desencadenar el tipo de ataques de autorreplicación que permitieron que los gusanos WannaCry y NotPetya paralizaran las redes corporativas en todo el mundo.

La vulnerabilidad existe en la versión 3.1.1 de Server Message Block 3.1.1, que se utiliza para compartir archivos, impresoras y otros recursos a través de redes locales e Internet. Los atacantes que explotan con éxito la falla pueden ejecutar el código de su elección en los servidores y las computadoras de los usuarios finales que usan el protocolo vulnerable, dijo Microsoft en el aviso rudimentario.

La falla, que se rastrea como CVE-2020-0796, afecta a Windows 10 y Windows Server 2019, que son versiones relativamente nuevas en las que Microsoft ha invertido una gran cantidad de recursos para endurecerse precisamente contra este tipo de ataques. Los parches no están disponibles y el aviso del martes no dio una fecha límite para el lanzamiento de un parche. Lorsqu’on lui a demandé s’il y avait un calendrier pour la publication d’un correctif, un représentant de Microsoft a répondu : «Au-delà de l’avis que vous avez lié, rien d’autre à partager de Microsoft pour el momento.»

Mientras tanto, Microsoft dijo que los servidores vulnerables pueden protegerse al deshabilitar la compresión para evitar que los atacantes no autenticados exploten la vulnerabilidad contra un servidor SMBv3. Los usuarios pueden usar el siguiente comando de PowerShell para deshabilitar la compresión sin tener que reiniciar la máquina:

Set-ItemProperty -Path «HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters» DisableCompression -Type DWORD -Value 1 -Force

Este parche no protegerá contra ataques a los equipos cliente vulnerables. Microsoft también recomendó que los usuarios bloqueen el puerto 445, que se usa para enviar tráfico SMB entre máquinas.

Ahora lo ves, ahora no

Un aviso publicado, luego eliminado, por la empresa de seguridad Fortinet describía la vulnerabilidad como «MS.SMB.Server.Compression.Transform.Header.Memory.Corruption». El aviso retirado indica que la falla es el resultado de un desbordamiento de búfer en servidores SMB de Microsoft vulnerables.

«La vulnerabilidad se debe a un error cuando el software vulnerable maneja un paquete de datos comprimidos creado con fines malintencionados», escribieron los investigadores de Fortinet. «Un atacante remoto no autenticado puede explotar esto para ejecutar código arbitrario en el contexto de la aplicación».

El equipo de seguridad de Talos de Cisco también publicó, y luego eliminó, su propio aviso. Llamó a la vulnerabilidad «gusano», lo que significa que un solo exploit puede desencadenar una reacción en cadena que permite que los ataques se propaguen de una máquina vulnerable a otra sin requerir ninguna interacción de los administradores o usuarios. .

«Un atacante podría explotar este error enviando un paquete especialmente diseñado al servidor SMBv3 de destino, al que la víctima debe estar conectada», decía la publicación eliminada de Talos. “Se alienta a los usuarios a deshabilitar la compresión SMBv3 y bloquear el puerto TCP 445 en los firewalls y las computadoras cliente. La explotación de esta vulnerabilidad abre los sistemas a un ataque de «gusano», lo que significa que sería fácil saltar de una víctima a otra.

La implementación de SMBv3 de Microsoft presenta una variedad de medidas diseñadas para hacer que el protocolo sea más seguro en las computadoras con Windows. La actualización se hizo más utilizada después de que WannaCry y NotPetya usaran un exploit desarrollado y luego robado por la agencia de seguridad nacional. Conocido como EternalBlue, el ataque aprovechó SMBv1 para lograr la ejecución remota de código y saltar entre máquinas. Microsoft también ha reforzado Windows 10 y Server 2019 para resistir mejor las vulnerabilidades, especialmente aquellas que de otro modo serían gusanos.

No está claro por qué Microsoft publicó los escasos detalles o por qué Fortinet y Talos publicaron y luego se retractaron de sus reseñas. El evento se produjo en Update Tuesday, que ocurre el segundo martes de cada mes, cuando Microsoft lanza una serie de parches para corregir varias vulnerabilidades de seguridad.

Evaluación de riesgos

Aunque CVE-2020-0796 es potencialmente grave, no todos dijeron que era el tipo de amenaza creada por la falla SMBv1 explotada por WannaCry y NotPetya. Estos gusanos fueron impulsados ​​por el lanzamiento público de EternalBlue, un exploit que era tan confiable que convirtió la explotación en un ejercicio de copiar y pegar. Otra contribución importante al éxito de los gusanos fue la casi omnipresencia de SMBv1 en ese momento. SMBv3, por otro lado, se usa mucho menos.

SMB también está protegido por la aleatorización del diseño del espacio de direcciones del kernel, una protección que aleatoriza las ubicaciones de memoria donde se carga el código del atacante en caso de que se aproveche con éxito una vulnerabilidad. La protección requiere que los atacantes elaboren dos exploits altamente confiables, uno que explote un desbordamiento de búfer u otra vulnerabilidad de ejecución de código y otro que revele las ubicaciones de memoria de la carga útil maliciosa. La protección obligó a Buckeye, un grupo de piratas informáticos avanzados que explotaron la falla SMBv1 14 meses antes de la misteriosa filtración de EternalBlue, a usar también una falla de divulgación de información separada.

Artículos Recientes

Post Relacionados

Leave A Reply

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí