Se encontró una nueva vulnerabilidad de seguridad en el mecanismo de compresión del protocolo de comunicación de red Microsoft Server Message Block 3.1.1 (SMBv3) utilizado por varias versiones de Windows 10 y Windows Server.
La falla de seguridad, rastreada como CVE-2020-1206 y nombrada SMBleed por investigadores de seguridad en el inicio de ciberseguridad ZecOps que la encontró, fue descubierta en la misma función detrás de SMBGhost, una vulnerabilidad de ejecución remota de código (RCE) preautorizada etiquetada como «wormable» por Microsoft y parcheado en marzo.
SMBleed es un error de divulgación de información de cliente / servidor que permite a los atacantes no autenticados leer de forma remota la memoria del núcleo no inicializada y lanzar ataques RCE contra sistemas Windows sin parches cuando se encadenan junto con SMBGhost.
SMBleed afecta a Windows 10 versiones 1903, 1909 y 2004, así como a las instalaciones de Server Core de Windows Server versiones 1903, 1909 y 2004.
Las versiones anteriores de Windows no son compatibles con la compresión SMBv3.1.1 y, por lo tanto, no se ven afectadas por SMBleed.
Según el aviso de seguridad de Microsoft publicado durante el Patch Tuesday de este mes, «un atacante que explotara con éxito la vulnerabilidad podría obtener información para comprometer aún más el sistema del usuario».
«Para aprovechar la vulnerabilidad contra un servidor, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 específico», agrega Microsoft.
«Para aprovechar la vulnerabilidad contra un cliente, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte a él».
ZecOps ha lanzado dos pruebas de conceptos (PoC) junto con el aviso de seguridad que detalla sus hallazgos:
- Una PoC que crea un archivo local que contiene la memoria del núcleo de la computadora de destino
- Una PoC RCE previo a la autenticación que combina SMBleed con SMBGhost que abre un shell inverso con acceso al sistema
Cuando se les preguntó por qué no esperaron a que los usuarios de Windows repararan sus sistemas y, en su lugar, publicaron el código fuente de PoC al divulgar públicamente SMBleed, ZecOps dijo que la vulnerabilidad de seguridad no es crítica por sí sola. Además, los usuarios de Windows que podrían verse afectados por ataques de ejecución remota de código que encadenan las vulnerabilidades SMBleed y SMBGhost tuvieron una ventaja de casi tres meses para parchear contra SMBGhost.
«Después de lanzarse el parche, la vulnerabilidad es fácil de detectar y reproducir. Solo en combinación con otra primitiva, como SMBGhost, SMBleed es crítica», dijo ZecOps a BleepingComputer.
«Lo que significa que las personas ya tenían algunos meses para parchear. Además, es probable que otros ya hayan notado este error ya que estaba tan cerca de SMBGhost».
Como solución alternativa para los clientes que no pueden aplicar inmediatamente las actualizaciones de seguridad (KB4560960 y KB4557957), Microsoft recomienda deshabilitar la compresión SMBv3 con este comando de PowerShell (administrador) (no se requiere reiniciar, no evita la explotación de clientes SMB):
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" DisableCompression -Type DWORD -Value 1 -Force
También se recomienda a los clientes empresariales que bloqueen el puerto TCP 445 en el firewall perimetral de la empresa para evitar ataques que intenten explotar la falla desde fuera de su entorno.
«Esto puede ayudar a proteger las redes de ataques que se originan fuera del perímetro de la empresa», explica Microsoft. «Bloquear los puertos afectados en el perímetro de la empresa es la mejor defensa para ayudar a evitar ataques basados en Internet».
«Sin embargo, los sistemas aún podrían ser vulnerables a los ataques desde el perímetro de su empresa», agrega Redmond.