Alertas de seguridad

Vulnerabilidad de ejecución remota de código en el servidor SMBv3 en Windows

Existe una vulnerabilidad de ejecución remota de código en la forma en que el protocolo Microsoft Server Message Block 3.1.1 (SMBv3) maneja ciertas solicitudes. Un atacante que aproveche con éxito la vulnerabilidad podría obtener la capacidad de ejecutar código en el servidor o cliente de destino.
 
 
Para aprovechar la vulnerabilidad contra un servidor, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 de destino. Para aprovechar la vulnerabilidad contra un cliente, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte a él.
 
De acuerdo con Microsoft, los atacantes todavía no han utilizado la vulnerabilidad CVE-2020-0796 o, al menos, nadie ha visto estos ataques. Pero el problema es que no existe parche todavía para CVE-2020-0796. 
 

Recursos afectados

 
Protocolo Microsoft Server Message Block 3.1.1 (SMBv3).
SMB es un protocolo de red para el acceso remoto a archivos, impresoras y otros recursos de red. Se utiliza para implementar las funciones Microsoft Windows Network y Compartir impresoras y archivos. Si su empresa utiliza estas funciones, tiene razones para preocuparse.
 
Microsoft Server Message Block 3.1.1 es un protocolo relativamente reciente, utilizado solo en los sistemas operativos nuevos:

  • Windows 10, versión 1903 para sistemas de 32 bits.
  • Windows 10, versión 1903 para sistemas basados en ARM64.
  • Windows 10, versión 1903 para sistemas basados en x64.
  • Windows 10, versión 1909 para sistemas de 32 bits.
  • Windows 10, versión 1909 para sistemas basados en ARM64.
  • Windows 10, versión 1909 para sistemas basados en x64.
  • Windows Server, versión 1903 (instalación de Server Core).
  • Windows Server, versión 1909 (instalación de Server Core).
 
La vulnerabilidad no afecta a Windows 7, 8, 8.1 o versiones anteriores. No obstante, los ordenadores más modernos con instalación automática de actualizaciones ejecutan Windows 10, por lo que es probable que muchos ordenadores, tanto domésticos como corporativos, sean vulnerables.
 

Acciones recomendadas

 
Microsoft recomienda que instale las actualizaciones para esta vulnerabilidad tan pronto como estén disponibles, incluso si planea dejar esta solución alternativa en su lugar:
 

Deshabilitar la compresión SMBv3

 
Puede deshabilitar la compresión para impedir que los atacantes no autenticados aprovechen la vulnerabilidad contra un servidor SMBv3 con el siguiente comando de PowerShell.
 
Set-ItemProperty-Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
 

Notas

  1. No es necesario reiniciar después de realizar el cambio.
  2. Esta solución alternativa no impide la explotación de clientes SMB; consulte el elemento 2 en Preguntas frecuentes para proteger a los clientes.
  3. Windows o Windows Server aún no utiliza SMB Compression, y la desactivación de SMB Compression no tiene un impacto negativo en el rendimiento.
 
Puede deshabilitar la solución alternativa con el siguiente comando de PowerShell.
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
 
No es necesario reiniciar después de deshabilitar la solución. Por último, Microsoft sugiere bloquear el puerto TPC 445 en el cortafuegos perimetral de la empresa.