Hoy, Microsoft filtró accidentalmente información sobre un nuevo gusano vulnerabilidad (CVE-2020-0796) en el protocolo Microsoft Server Message Block (SMB).

Hoy, Microsoft filtró accidentalmente información sobre una actualización de seguridad para un gusano vulnerabilidad en el protocolo Microsoft Server Message Block (SMB).

El problema, seguido como CVE-2020-0796, es una vulnerabilidad de ejecución de código pre remota que reside en el protocolo de comunicación de red Server Message Block 3.0 (SMBv3), el gigante de TI no abordará el problema como parte del parche del martes de marzo de 2020.

Se han revelado detalles técnicos de la vulnerabilidad CVE-2020-0796, pero las firmas de seguridad Cisco Talos y Fortinet publicó una descripción del problema en sus sitios web.

La vulnerabilidad se debe a un error en la forma en que SMBv3 maneja los paquetes de datos comprimidos creados con fines malintencionados, un control remoto, no autenticado El atacante podría explotar la falla para ejecutar código arbitrario dentro del contexto de la aplicación.

“Esto indica un intento de ataque para explotar una vulnerabilidad de desbordamiento de búfer en los servidores SMB de Microsoft. La vulnerabilidad se debe a un error cuando el software vulnerable maneja un paquete de datos comprimidos creado con fines malintencionados. Un mando a distancia, no autenticado el atacante puede explotar esto para ejecutar código arbitrario dentro del contexto de la aplicación”. lee el asesor publicado por Fortinet.

La vulnerabilidad CVE-2020-0796 afecta a los dispositivos que ejecutan Windows 10 versión 1903, Windows Server versión 1903 (instalación Server Core), Windows 10 versión 1909 y Windows Server versión 1909 (instalación Server Core). Según Fortinet, otras versiones de Microsoft deberían verse afectadas.

El conocimiento de la existencia de un gusano El protocolo SMB que afecta a las fallas está alertando a los expertos que temen una nueva ola de WannaCry y NotPetya-como ataques.

A la espera de una actualización de seguridad que aborde el problema, los expertos de Cisco Talos recomiendan desactivar la compresión SMBv3 y bloquear el puerto TCP 445 en las computadoras cliente y los firewalls para mitigar el problema.

De acuerdo con BleepingComputer, aunque Microsoft no compartió una forma oficial de deshabilitar la compresión SMBv3, el arquitecto de soluciones de Foregenix, Niall Newman, fue capaz de encontrar después de analizar el archivo Srv2.sys que se puede hacer por

1. Ir a HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManWorkstationParameters
2. Crear un valor DWORD llamado
3. Establecer su valor en 0.”

Actualización de marzo 10, 2020

“Microsoft es consciente de una vulnerabilidad de ejecución remota de código en la forma en que el protocolo Microsoft Server Message Block 3.1.1 (SMBv3) maneja ciertas solicitudes. Un atacante que explotara con éxito la vulnerabilidad podría obtener la capacidad de ejecutar código en el servidor SMB o el cliente SMB de destino”. lee el asesor publicado por Microsoft.

“Para explotar la vulnerabilidad contra un servidor SMB, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 objetivo. Para aprovechar la vulnerabilidad contra un cliente SMB, un no autenticado el atacante necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte a él”.

Pierluigi Paganini

(Asuntos de seguridad – piratería, CVE-2020-0796)

Compartiendo

Fuente: https://securityaffairs.co/wordpress/99340/hacking/cve-2020-0796-smb-flaw.html