sábado, 4 de abril de 2020

Vulnerabilidad crítica en SMBv3 en Windows 10

Microsoft emitió un comunicado advirtiendo de una vulnerabilidad crítica, sin parche, que afecta al protocolo de red SMBv3 (Server Message Block), tanto en modo cliente como servidor.

Según parece, Microsoft tenía planeado incluir el parche en su paquete de actualizaciones mensual, habitualmente el segundo martes de cada mes, pero finalmente no fue así. Esto no evitó que detalles sobre esta vulnerabilidad salieran a la luz, dejando a millones de usuarios en riesgo, aunque de momento no hay constancia de que se esté explotando activamente.

Una explotación efectiva de dicha vulnerabilidad, permitiría al atacante la ejecución remota de código en el servidor o cliente SMB. Para un ataque a un servidor, un usuario previamente autenticado podría enviar un paquete especialmente preparado. En el caso de un ataque a la parte cliente del protocolo, sería necesario convencer a un usuario, mediante phishing u otras técnicas similares, para que accediese a un servidor SMB malicioso. En ambos casos se produciría una ejecución de código en el equipo objetivo, permitiendo tomar el control del mismo.



Las plataformas afectadas son:

Windows 10 Version 1903
Windows 10 Version 1909
Windows Server 1903
Windows Server 1909

Mitigación

Mientras se espera la distribución de una solución definitiva, Microsoft recomienda en su comunicado deshabilitar la compresión en el protocolo SMBv3 en los servidores, a través del siguiente comando de PowerShell:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

También se recalca que esta configuración no protege a los clientes, para los cuales la única medida efectiva es bloquear en el firewall las conexiones salientes al puerto 445/TCP fuera de la red local.

Si bien es sencillo aplicarlo en entornos empresariales, donde es habitual la presencia de un router/firewall que filtre el acceso a internet, en un entorno doméstico requerirá que el usuario configure su equipo o router para impedir estas conexiones.

Fuentes
Artículo: "Vulnerabilidad crítica en SMBv3 afecta a últimas versiones de Windows 10 y Windows Server" Publicado en https://unaaldia.hispasec.com/ Por Julián J. Menéndez el 11 marzo 2020
URL: https://unaaldia.hispasec.com/2020/03/vulnerabilidad-critica-en-smbv3-afecta-a-ultimas-versiones-de-windows-10-y-windows-server.html

No hay comentarios:

Publicar un comentario