Alertas de seguridad

Vulnerabilidad crítica en últimas versiones de Microsoft Windows

Una nueva vulnerabilidad de tipo RCE en Windows 10 y los sistemas operativos de Windows Server ha sido descubierta. Dicha vulnerabilidad se encuentra bajo la CVE-2020-0796, la cual afecta al protocolo Microsoft Server Message Block 3.1.1 (SMBv3).

vulnerabilidad Microsoft Windows 2

Según Microsoft, un atacante puede explotar esta vulnerabilidad para ejecutar código de forma arbitraria del lado del servidor SMB o del cliente SMB. Para atacar al servidor, basta con enviar un paquete creado especialmente para ello. En lo que respecta al cliente, los atacantes tienen que configurar un servidor SMBv3 malicioso y persuadir a un usuario para que se conecte a él.

Recursos afectados 

Microsoft Server Message Block 3.1.1 es un protocolo reciente, utilizado solamente en los siguientes sistemas operativos:

  • Windows 10, versión 1903 para sistemas de 32 bits.
  • Windows 10, versión 1903 para sistemas basados en ARM64.
  • Windows 10, versión 1903 para sistemas basados en x64.
  • Windows 10, versión 1909 para sistemas de 32 bits.
  • Windows 10, versión 1909 para sistemas basados en ARM64.
  • Windows 10, versión 1909 para sistemas basados en x64.
  • Windows Server, versión 1903 (instalación de Server Core).
  • Windows Server, versión 1909 (instalación de Server Core).

Acciones recomendadas  

Microsoft ha lanzado una actualización de seguridad que aborda la vulnerabilidad. Se puede descargar mediante el siguiente enlace: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

En caso de no estar disponible el parche en los demás sistemas, se debe cerrar la vulnerabilidad y eso requiere soluciones alternativas, donde Microsoft propone lo siguiente para bloquear la explotación de esta vulnerabilidad:

  • Para servidores SMB:

Se puede bloquear la explotación de una vulnerabilidad con el siguiente comando en PowerShell: Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force

  • Para clientes SMB:

Al igual que con WannaCry, Microsoft sugiere bloquear el puerto TCP 445 en el cortafuegos perimetral de la empresa.