Tenable recomienda parchar inmediatamente la vulnerabilidad de Microsoft

Hace unos días, Microsoft lanzó un parche para CVE-2020-0796, una vulnerabilidad crítica de ejecución remota de código en Server Message Block 3.1.1 (SMBv3) para Microsoft Windows 10 versiones 1903 y 1909 y Windows Server 1903 y 1909. La falla, denominada EternalDarkness, fue revelada por error por otro proveedor de seguridad. El parche aborda la forma en que el protocolo SMBv3 maneja las solicitudes especialmente diseñadas, utilizando compresión.

Según Microsoft, un atacante sin privilegios podría aprovechar esta vulnerabilidad enviando un paquete especialmente diseñado a un servidor SMBv3 o infectando un servidor SMBv3 vulnerable. Para explotar un cliente SMB, el atacante necesitaría convencer a un usuario para que establezca una conexión con un servidor ya comprometido. La explotación exitosa de la vulnerabilidad le daría al atacante entrada a cualquier acción sobre el activo comprometido: el robo de información, la interrupción del servicio o el secuestro informático del activo para obtener una recompensa monetaria (ransomware) son solo algunos ejemplos. La característica de esta vulnerabilidad de poder ejecutar de forma remota, sin tener acceso físico a las computadoras, la hace especialmente peligrosa.

De acuerdo con Satnam Narang, ingeniero de investigación principal en Tenable, antes del lanzamiento del parche, ya habían visto scripts de prueba de concepto para identificar instancias vulnerables, así como investigadores de seguridad que desarrollaban formas de explotar la falla. “Con el parche ahora disponible, esperamos que estos esfuerzos continúen, ya que tanto la comunidad de seguridad como los actores de amenazas buscan un exploit funcional. Debido a que la vulnerabilidad afecta a versiones específicas de Windows 10 y Windows Server, el impacto de un exploit funcional será menos severo de lo que vimos en el caso de EternalBlue, que afectó a SMBv1, y tuvo una huella mucho mayor en todo el mundo. Sin embargo, Microsoft raramente repara una vulnerabilidad fuera de su ciclo de parche normal, lo que significa que las organizaciones y los usuarios deberían tomar esta vulnerabilidad muy en serio. Recomendamos urgentemente   a todos los afectados que apliquen estos parches lo antes posible debido a la gravedad y el interés en la falla”, comentó el ingeniero.

Desde Tenable recomiendan las siguientes acciones para identificar y eliminar el riesgo:

• Identificar los activos con la vulnerabilidad CVE-2020-0796 a través de un escaneo con los plugins 134420 (revisión local) y el plugin 134421 (revisión remota). Este último permite la identificación de la vulnerabilidad aún sin contar con credenciales privilegiadas para los sistemas. Pueden encontrarlas en tenable.com/plugins.
• Deshabilitar la compresión de SMBv3 y bloquear el puerto TCP 445 en ambos sentidos en el firewall del perímetro.
• Aplicar el parche en estos equipos.

Las versiones de Windows 10 y Windows Server que se ven afectadas por esta vulnerabilidad son:

• Windows Server versión 1903 (instalación de Server Core)
• Windows Server versión 1909 (instalación de Server Core)
• Windows 10 versión 1903 para sistemas de 32 bits
• Windows 10 versión 1903 para sistemas basados en ARM64
• Windows 10 versión 1903 para sistemas x64
• Windows 10 versión 1909 para sistemas de 32 bits
• Windows 10 versión 1909 para sistemas basados en ARM64
• Windows 10 versión 1909 para sistemas x64