Poco después de la liberación de su lote mensual de actualizaciones de seguridad , Microsoft emitió ayer por la tarde por separado un asesoramiento mil millones de alerta de sus usuarios de Windows de una nueva vulnerabilidad crítica, sin parches, y que afecta a wormable Server Message Block 3.0 ( SMBv3 protocolo de comunicación) a la red.

Parece que Microsoft originalmente planeó corregir la falla como parte de su actualización del martes de parche de marzo de 2020 solamente, pero, por alguna razón, se desconectó en el último minuto, lo que aparentemente no impidió que una compañía de tecnología filtrara accidentalmente la existencia falla sin parchear.

El defecto parcheado aún por rastrear (rastreado como CVE-2020-0796 ), si se explota con éxito, podría permitir que un atacanteejecutar código arbitrario en el servidor SMB o cliente SMB de destino.

El tardío reconocimiento de Microsoft llevó a algunos investigadores a llamar al error ” SMBGhost “.

“Para explotar la vulnerabilidad contra un servidor SMB, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 específico”, reveló Microsoft en un aviso. “Para aprovechar la vulnerabilidad contra un cliente SMB, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte a él”.

El protocolo de bloqueo de mensajes del servidor proporciona la base para compartir archivos, navegar por la red, servicios de impresión y comunicación entre procesos a través de una red.

Según una publicación de Cisco Talos ahora eliminada, la falla abre los sistemas vulnerables a un ataque “wormable”, lo que facilita la propagación de una víctima a otra.

Aunque no está claro cuándo Microsoft planea corregir la falla, la compañía insta a los usuarios a deshabilitar la compresión SMBv3 y bloquear el puerto TCP 445 en firewalls y computadoras cliente como una solución alternativa.

Set-ItemProperty -Path “HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters” DisableCompression -Type DWORD -Value 1 -Force

Además, Microsoft ha advertido que deshabilitar la compresión SMBv3 no impedirá la explotación de clientes SMB.

Vale la pena señalar que la falla solo afecta a Windows 10 versión 1903, Windows 10 versión 1909, Windows Server versión 1903 y Windows Server versión 1909. Pero es posible que se vean afectadas más versiones ya que SMB 3.0 se introdujo con Windows 8 y Windows Server 2012.

A pesar de la gravedad del error SMB, no hay evidencia de que se esté explotando en la naturaleza. Pero también es necesario llamar la atención sobre el hecho de que esto está lejos de ser la única vez que SMB ha sido explotado como un vector de ataque para intentos de intrusión.

Solo en los últimos años, algunas de las principales infecciones de ransomware, incluidas WannaCry y NotPetya , han sido consecuencia de exploits basados ​​en SMB.

Por ahora, hasta que Microsoft lance una actualización de seguridad diseñada para corregir la falla CVE-2020-0796 RCE, se recomienda que los administradores del sistema implementen las soluciones para bloquear los ataques que intentan aprovechar la vulnerabilidad.