Microsoft ha publicado un parche de emergencia para corregir una vulnerabilidad crítica de SMBv3, el protocolo de red para compartir archivos, impresoras y otros servicios en Windows.
Microsoft publicó el pasado martes el habitual conjunto de parches mensual que en este mes de marzo incluía 115 actualizaciones de seguridad (26 de ellas calificadas como críticas) para el amplio catálogo de soluciones que tiene la compañía.
MS Recomienda
Sin embargo, se quedó fuera de la actualización una vulnerabilidad muy peligrosa (CVE-2020-0796), que afecta a la manera que el protocolo SMBv3 maneja los encabezados de compresión. Es una característica que Microsoft agregó a Windows 10 y Windows Server y que está diseñado para comprimir el tamaño de los mensajes intercambiados entre un servidor y los clientes conectados a él.
La vulnerabilidad es crítica ya que hace posible que atacantes remotos no autenticados ejecuten código malicioso en servidores o clientes objetivo con privilegios de sistema. «Para explotar la vulnerabilidad contra un servidor, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 específico. Para explotar la vulnerabilidad contra un cliente, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte», explican desde Microsoft.
Hasta el momento solo existe un exploit PoC conocido para esta fallo crítico explotable remotamente, pero la ingeniería inversa de los nuevos parches ahora también podría ayudar a los piratas informáticos a encontrar otros vectores de ataque para desarrollar malware autopropagante totalmente armado.
Aunque ya se citó anteriormente la posibilidad de mitigar esta vulnerabilidad crítica en SMBv3 (desactivando la función de compresión y bloqueando el puerto SMB para las conexiones entrantes y salientes para ayudar a prevenir la explotación remota) una vez que está disponible el parche de emergencia (KB4551762), se recomienda su instalación a la mayor brevedad tanto para usuarios domésticos como empresas.
Los sistemas operativos afectados son las últimas versiones de Windows 10 y Server: Windows 10 1903 y 1909 en sus versiones x86 de 32 y 64 bits y las ARM64. También Windows 10 Server 1903 y 1909. Investigadores de terceros como Synacktiv han publicado análisis técnicos detallados de la vulnerabilidad. ¡Actualiza!
Fuente:https://www.muyseguridad.net