Vulnerabilidad Crítica Microsoft SMBv3 (3.1.1)#SMBGhost y aún no tiene parche!!
Microsoft ha publicado el día 10 de marzo una “ADV200005 Guía para desabilitar la compresión SMBv3”, esta vulnerabilidad permite
ejecución remota de código en la forma en que el protocolo SMBv3 maneja ciertas solicitudes.
Vulnerabilidad CVE-2020–0796 (#SMBGhost / #coronablue):
La vulnerabilidad ha estado en el dominio público desde el 10 de marzo. Un ataque podría comprometer otros equipos sin necesidad de interacción por parte del usuario, tal como el Ransomware WannaCry o NotPetya. Recordar que el Ransomware WannaCry explotaba un fallo bastante similar en la versión SMBv1.
Riesgo:
Un atacante podría aprovechar esta vulnerabilidad para obtener la capacidad de ejecutar código en el servidor SMB o el cliente SMB de destino. Un cliente SMB puede ser afectado solo por visitar un servidor SMBv3 malicioso.
Microsoft ha publicado algún parche o actualización:
No existe parche para CVE-2020–0796 a la fecha.
Actualizado, Inicio:
############
Hecho 1.-Microsoft el 10/03/20 publica vulnerabilidad: “ADV200005 Guía para desabilitar la compresión SMBv3”, esta vulnerabilidad permite
ejecución remota de código en la forma en que el protocolo SMBv3 maneja ciertas solicitudes.
Hecho 2.- Dos (02) dias sin parche.
Hecho 3.-Microsoft el 12/03/2020 publica actualizaciones de seguridad: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
Hecho 4.- Exploits Público 14/03/2020, se publica en exploit-db. Claro no sabemos si en otro foro se ha publicado un exploit.
Fuente: https://www.exploit-db.com/exploits/48216, https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/48216.zip
Actualizado, Fin:
###########
Explotable:
Aún no publicamente. Según Microsoft, la vulnerabilidad CVE-2020–0796 aún no se ha utilizado para ataques.
Protocolo SMB:
SMB (Server Message Block) es un protocolo de red que permite compartir archivos, impresoras entre otras computadoras a nivel de red que estén usando el sistema operativo Microsoft Windows, también conocido como CIFS (Common Internet File System), el servicio de SMB utiliza el puerto 445/tcp.
Versiones de Windows afectadas:
- Windows 10 versión 1903 para sistemas de 32 bits
- Windows 10 versión 1903 para sistemas basados en ARM64
- Windows 10 versión 1903 para sistemas x64
- Windows 10 versión 1909 para sistemas de 32 bits
- Windows 10 versión 1909 para sistemas basados en ARM64
- Windows 10 versión 1909 para sistemas x64
- Windows Server, versión 1903 (instalación Server Core)
- Windows Server, versión 1909 (instalación Server Core)
¿Las versiones anteriores de Windows son afectadas?
No, la vulnerabilidad existe en una nueva característica que se agregó a Windows 10 versión 1903. Las versiones anteriores de Windows no admiten la compresión SMBv3.1.1
Solución:
A la fecha no hay un parche de seguridad o actualización disponible. Microsoft recomienda encarecidamente que instale las actualizaciones para esta vulnerabilidad tan pronto como estén disponibles en el siguiente enlace.
Solución alternativa:
1.Desahabilitar la compresión SMBv3
Puede deshabilitar la compresión para impedir que los atacantes no autenticados aprovechen la vulnerabilidad contra un servidor SMBv3 con el siguiente comando de PowerShell:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force
Nota:
No es necesario reiniciar después de deshabilitar la solución.
2.Bloquear el puerto 445/TCP en el Firewall perimetral
Desde tú firewall perimetral bloquear el puerto 445/tcp, este puerto se usa para iniciar una conexión con el componente SMB afectado. Bloquear este puerto en el firewall perimetral protegerá los sistemas que están detrás de este firewall de los intentos de aprovechar esta vulnerabilidad. Sin embargo, los sistemas aún podrían ser vulnerables a los ataques desde el perímetro de su empresa.
Protección, Yara Rules:
Para detectar el #SMBv3 vulnerabilidad CVE-2020–0796 ( #SMBGhost ) paquetes dentro de archivos binarios, para intentar identificar el malware que potencialmente implementa un escáner para la vulnerabilidad, Regla smbghost.yara
Fuentes:
1.Microsoft Security Guidance Advisory adv200005 , Guía de Microsoft para deshabilitar la compresión SMBv3.
2.Blog de Kaspersky, CVE-2020–0796: Nueva vulnerabilidad en el protocolo SMB.
3.Welivesecurity.com by ESET, Divulgan vulnerabilidad crítica en SMBv3 de Windows que aún no tiene parche.
4. CoronaBlue o SMBGhost: Vulnerabilidad Crítica en SMB de Windows, blog.segu-info.com.ar.
6. Yara Rules SMBghost.yara
7. Publicación, CVE-2020–0796 aka SMBGhost vulnerability
