Microsoft revela vulnerabilidad crítica; EternalDarkness, la cual recuerda a EternalBlue utilizada en los ataques de Wannacry

  • La explotación exitosa de la vulnerabilidad otorgaría al atacante la ejecución de código arbitrario en el servicio de Microsoft SMB -utilizado ampliamente para compartir archivos y servicios de impresión, entre otros—tanto en servidores como en estaciones de trabajo.
  • Microsoft ya ha proporcionado un parche para esta vulnerabilidad, por lo que se recomienda aplicarlo de manera urgente.

Microsoft lanzó un parche para CVE-2020-0796, una vulnerabilidad crítica de ejecución remota de código en Server Message Block 3.1.1 (SMBv3) para Microsoft Windows 10 versiones 1903 y 1909 y Windows Server 1903 y 1909. La falla, denominada EternalDarkness, fue revelada por error el pasado martes de parches por otro proveedor de seguridad. El parche aborda la forma en que el protocolo SMBv3 maneja las solicitudes especialmente diseñadas, utilizando compresión.

Según Microsoft, un atacante sin privilegios podría aprovechar esta vulnerabilidad enviando un paquete especialmente diseñado a un servidor SMBv3 o infectando un servidor SMBv3 vulnerable. Para explotar un cliente SMB, el atacante necesitaría convencer a un usuario para que establezca una conexión con un servidor ya comprometido. La explotación exitosa de la vulnerabilidad le daría al atacante entrada a cualquier acción sobre el activo comprometido: el robo de información, la interrupción del servicio o el secuestro informático del activo para obtener una recompensa monetaria (ransomware) son solo algunos ejemplos. La característica de esta vulnerabilidad de poder ejecutar de forma remota, sin tener acceso físico a las computadoras, la hace especialmente peligrosa.

¨Antes del lanzamiento del parche, ya habíamos visto scripts de prueba de concepto para identificar instancias vulnerables, así como investigadores de seguridad que desarrollaban formas de explotar la falla. Con el parche ahora disponible, esperamos que estos esfuerzos continúen, ya que tanto la comunidad de seguridad como los actores de amenazas buscan un exploit funcional. Debido a que la vulnerabilidad afecta a versiones específicas de Windows 10 y Windows Server, el impacto de un exploit funcional será menos severo de lo que vimos en el caso de EternalBlue, que afectó a SMBv1, y tuvo una huella mucho mayor en todo el mundo. Sin embargo, Microsoft raramente repara una vulnerabilidad fuera de su ciclo de parche normal, lo que significa que las organizaciones y los usuarios deberían tomar esta vulnerabilidad muy en serio. Recomendamos urgentemente   a todos los afectados que apliquen estos parches lo antes posible debido a la gravedad y el interés en la falla”: Satnam Narang, ingeniero de investigación principal en Tenable.

 A continuación el listado de las versiones de Microsoft Windows y Windows Server que se ven afectadas por esta vulnerabilidad:

Windows Server versión 1903 (instalación de Server Core)

Windows Server versión 1909 (instalación de Server Core)

Windows 10 versión 1903 para sistemas de 32 bits

Windows 10 versión 1903 para sistemas basados en ARM64

Windows 10 versión 1903 para sistemas x64

Windows 10 versión 1909 para sistemas de 32 bits

Windows 10 versión 1909 para sistemas basados en ARM64

Windows 10 versión 1909 para sistemas x64

Anunciante

Tenable Research recomienda las siguientes acciones para identificar y eliminar el riesgo:

  1. Identificar los activos con la vulnerabilidad CVE-2020-0796 a través de un escaneo con los plugins 134420 (revisión local) y el plugin 134421 (revisión remota). Este último permite la identificación de la vulnerabilidad aún sin contar con credenciales privilegiadas para los sistemas. Pueden encontrarlas en tenable.com/plugins.
  2. Deshabilitar la compresión de SMBv3 y bloquear el puerto TCP 445 en ambos sentidos en el firewall del perímetro.
  3. Aplicar el parche en estos equipos.

 

¨ Tenable Research nuevamente se hace presente con la capacidad de identificar los activos con esta vulnerabilidad aún sin contar con credenciales o privilegios, lo cual facilita enormemente la identificación del riesgo en la organización de manera simplificada. Si bien estas soluciones evitarán la explotación a nivel del servidor, es importante tener en cuenta que las estaciones de trabajo deben ser parcheadas para evitar ser vulnerables ¨ : Luis Isselin, Director General para Tenable en México

contactame@esemanal.mx

Te puede interesar:

Adistec cuenta con la gama completa de productos y soluciones de Tenable

Tres factores aumentan el riesgo de ciberataques: Tenable

Tenable adquiere compañía de ciberseguridad industrial

Comprometido Tenable en mantener a socios del canal competitivos

Trae Tenable herramienta gratuita para evaluación de vulnerabilidades

Share via
Copy link
Powered by Social Snap