Microsoft ha lanzado una actualización de seguridad de emergencia para resolver la peligrosa vulnerabilidad “wormeable” presente en SMBv3 que accidentalmente salió a la luz, identificada como CVE-2020-0796.
La vulnerabilidad, causada por la manera en que el protocolo maneja los requests con headers de compresión, permite la ejecución de código remoto por parte de un atacante y afecta a los sistemas operativos Windows 10 y Windows Server 2019 en sus versiones 1903 y 1909.
Respecto a la explotación de la vulnerabilidad, Microsoft ha dicho en un advisory:
Para explotar la vulnerabilidad contra un servidor, un atacante no autenticado podría enviar un paquete especialmente diseñado contra el mismo. Para explotarla contra un cliente, el mismo atacante no autenticado debería configurar un servidor SMBv3 malicioso y convencer al usuario de conectarse contra el mismo.
De momento existe un sólo POC de exploit de la vulnerabilidad, pero la existencia de un parche ahora permite a cibercriminales realizar ingeniería reversa del mismo y reduce el tiempo antes de que alguien logre aprovechar la misma para preparar una pieza de malware que aproveche la misma para autopropagarse, como lo hizo WannaCry en 2017.
Mitigaciones temporales para la vulnerabilidad, en casos que no se puedan aplicar los parches a la brevedad, consisten en deshabilitar la compresión SMBv3 y bloquear el puerto 445. En servidores, es posible deshabilitar la compresión SMBv3 sin necesidad de reiniciarles mediante la creación de la siguiente clave de registro:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -DWORD -Value 1 -Force
Clientes de Trend Micro ya tienen sus servidores y equipos protegidos con la siguiente regla de Virtual Patching presente en Apex One y Deep Security:
1010192 – Microsoft Windows SMBv3 Remote Code Execution Vulnerability
La vulnerabilidad es resuelta mediante el update KB4551762.
