En este mes de Agosto, en la publicación del Microsoft Patch Update, se incluyó una vulnerabilidad que destaca de entre las publicadas por su criticidad: CVE:2017-8620 la cual afecta todas las versiones de Windows soportadas. Esta es de lejos la vulnerabilidad más crítica del mes.
Microsoft explica "en un ambiente empresarial, un atacante remoto sin necesidad de autenticación puede utilizar esta vulnerabilidad a través de una conexión SMB y tomar control de los equipos vulnerables."
En resumen, esta es una vulnerabilidad que una vez que se explota puede ejecutar mecanismos de auto-propagación que afectan servidores y equipos de escritorio. Un atacante que exitosamente explota este CVE, puede instalar programas, manipular datos, crear cuentas de usuario, elevar privilegios e incluso tomar control de los equipos. Esta es una vulnerabilidad diferente a SMBLoris la cual ha sido publicada pero aún no tiene parche de Windows.
Las similitudes con las vulnerabilidades utilizadas en los ataques de WannaCry y NotPetya son claras. Incluso se está nombrando como la próxima vulnerabilidad de WannaCry.
Trend Micro ya brinda la protección y detección necesaria para este tipo de vulnerabilidades mediante varias capas de protección.
Recomendaciones:
- Aplicar de forma inmediata el parche de Windows. En caso de no poder aplicarlo, le sugerimos utilizar tecnología de Parcheo Virtual:
Deep Security DSRU-17040
- 1008560 - Microsoft Windows Search Remote Code Execution Vulnerability (CVE-2017-8620)
- 1008558 - Identified Windows Search Protocol Network Traffic Over SMB (CVE-2017-8620)
Deep Discovey Inspector:
- Rule 2465 – “CVE-2017-8620 - Remote Code Execution – SMB (Request)”
- Rule 2467 – “CVE-2017-8620 - Remote Code Execution – SMB2 (Request)”
Tipping Point:
- 29444: SMB: Microsoft Windows Search Service CPMCreateQueryIn Request Using MsFteWds Pipe
- 29445: SMB: Microsoft Windows Search Service Type Confusion Vulnerability
