CVE-2020-0796: Nueva vulnerabilidad en el protocolo SMB

Microsoft ha lanzado un parche para la vulnerabilidad CVE-2020-0796, recién descubierta en el protocolo de red SMB 3.1.1.

Actualizado el 12 de marzo

Una nueva vulnerabilidad RCE en Windows 10 y los sistemas operativos de Windows Server ha salido a la luz, la CVE-2020-0796 afecta al protocolo Microsoft Server Message Block 3.1.1 (SMBv3). Según Microsoft, un atacante puede explotar esta vulnerabilidad para ejecutar código de forma arbitraria del lado del servidor SMB o del cliente SMB. Para atacar al servidor, basta con enviar un paquete creado especialmente para ello. En lo que respecta al cliente, los atacantes tienen que configurar un servidor SMBv3 malicioso y persuadir a un usuario para que se conecte a él.

Los expertos en ciberseguridad consideran que la vulnerabilidad se puede utilizar para lanzar un gusano similar a WannaCry. Microsoft ha calificado esta vulnerabilidad como crítica, por lo que deberías cerrarla lo antes posible.

¿Quién está en peligro?

SMB es un protocolo de red para el acceso remoto a archivos, impresoras y otros recursos de red. Se utiliza para implementar las funciones Microsoft Windows Network y Compartir impresoras y archivos. Si tu empresa utiliza estas funciones, tienes razones para preocuparte.

Microsoft Server Message Block 3.1.1 es un protocolo relativamente reciente, utilizado solo en los sistemas operativos nuevos:

  • Windows 10, versión 1903 para sistemas de 32 bits.
  • Windows 10, versión 1903 para sistemas basados en ARM64.
  • Windows 10, versión 1903 para sistemas basados en x64.
  • Windows 10, versión 1909 para sistemas de 32 bits.
  • Windows 10, versión 1909 para sistemas basados en ARM64.
  • Windows 10, versión 1909 para sistemas basados en x64.
  • Windows Server, versión 1903 (instalación de Server Core).
  • Windows Server, versión 1909 (instalación de Server Core).

La vulnerabilidad no afecta a Windows 7, 8, 8.1 o versiones anteriores. No obstante, los ordenadores más modernos con instalación automática de actualizaciones ejecutan Windows 10, por lo que es probable que muchos ordenadores, tanto domésticos como corporativos, sean vulnerables.

¿Están los atacantes explotando CVE-2020-0796?

De acuerdo con Microsoft, los atacantes todavía no han utilizado la vulnerabilidad CVE-2020-0796 o, al menos, nadie ha visto estos ataques. Pero el problema es que no existe parche todavía para CVE-2020-0796. Mientras, la información sobre esta vulnerabilidad corre públicamente desde el 10 de marzo, por lo que los exploits pueden aparecer en cualquier momento, si es que no lo han hecho ya.

¿Qué deberías hacer?

Actualizado el 12 de marzo: Microsoft ha lanzado una actualización de seguridad que aborda la vulnerabilidad. Puedes descargarla aquí.

Sin parche, tienes que cerrar la vulnerabilidad y eso requiere soluciones alternativas. Microsoft propone lo siguiente para bloquear la explotación de esta vulnerabilidad.

Para servidores SMB:

  • Puedes bloquear la explotación de una vulnerabilidad con el comando PowerShell:

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force

Para clientes SMB:

  • Al igual que con WannaCry, Microsoft sugiere bloquear el puerto TPC 445 en el cortafuegos perimetral de la empresa.

También, asegúrate de utilizar una solución de seguridad de confianza como Kaspersky Endpoint Security for Business. Entre otras tecnologías, utiliza un subsistema de prevención de exploit que protege los equipos, incluso de vulnerabilidades desconocidas.

Consejos