martes, mayo 7, 2024

pXTECHeXpert

La experiencia es la madre de la sabiduría

NoticiasVulnerabilidades

Vulnerabilidad crítica en SMB: SMBleed

pX
Riesgo: Alto
Recursos Afectados:

Versiones de Windows 10 1903, 1909 y 2004

Descripción:

Recientemente se ha descubierto una nueva vulnerabilidad crítica que afecta al protocolo SMB. Los investigadores de ciberseguridad alertan que esta vulnerabilidad podría permitir a los atacantes, de forma remota, exponer la memoria del kernel. Esta vulnerabilidad combinado con otra ya conocida como SMBGhost, podría llevar a la ejecución remota de código, por ejemplo.

A esta vulnerabilidad se lo denominó SMBleed y catalogado como cve-2020-1206, radica en la función de descompresión de SMB. Afecta a las versiones de Windows 10 1903 y 1909, para las cuales ya fueron lanzadas parches de seguridad como parte de sus actualizaciones mensuales para junio.

Se trata del mismo error SMBGhost o EternalDarkness (cve-2020-0796), que convierte a los sistemas operativos Windows vulnerables a ataques de malware y que puede propagarse a través de redes, ya descubierta hace 3 meses.

Avisos y procedimientos

La agencia de seguridad de USA (CISA) emitió un comunicado advirtiendo a los usuarios que utilizan Windows 10 para que actualicen después de que el exploit para SMBGhost fuera publicado la semana pasada.

CISA (Cybersecurity and Infrastructure Security Agency) declaró que Microsoft aviso y proporcionó actualizaciones para esta vulnerabilidad en marzo de 2020, y que los atacantes están apuntando sistema no parcheados, usando la prueba de concepto pública.

Los investigadores de ZecOps, grupo de seguridad que detectó la vulnerabilidad, el fallo radica en el modo que la función de descompresión maneja las solicitudes de mensajes especialmente diseñados para ser enviados a un servidor SMBv3 específico. Como resultado, al atacante podría leer la memoria del kernel no inicializada y realizar modificaciones a la función de compresión.

La función de descompresión, llamado Srv2DesompressData, recibe el mensaje comprimido que envía un cliente, asigna la cantidad de memoria requerida y descomprime los datos. Si el offset no es igual a cero, copia los datos que se colocan antes de los datos comprimidos, al comienzo del buffer asignado.

Si se configura el tamaño original del segmento comprimido, reflejado en la variable OriginalCompressedSegmentSize, para que ocupe más bytes, gracias a la falta de comprobaciones, se puede escribir fuera de los límites del buffer.

Solución:

Para mitigar dichas vulnerabilidades se pueden tomar las siguientes acciones:

  • Actualización de Windows (recomendado).
  • El bloqueo del puerto 445 para impedir la propagación horizontal utilizando estas vulnerabilidades.
  • Aislamiento del host.
  • Deshabilitar la compresión SMB 3.1.1 (no recomendado).
Actualizaciones:

Windows 10 Version 2004:

  • KB4557957

Windows 10 Version 1909:

  • KB4560960
  • KB4551762

Windows 10 Version 1903:

  • KB4560960
  • KB4551762
  • KB4512941

Referencias: https://blog.zecops.com/vulnerabilities/smbleedingghost-writeup-chaining-smbleed-cve-2020-1206-with-smbghost/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Abrir chat
Hola ツ si necesitas una ayuda personalizada, estamos a las órdenes. ¿En qué podemos ayudarte?