TLP: White
NIVEL DE RIESGO – CVSS v3.1 10.0 [Crítico]
Acción Requerida: Aplicar las actualizaciones de seguridad que corrigen la vulnerabilidad en vCenter Server.
Vector de ataque: Red, acceso remoto.
Impacto: El uso de esta prueba de concepto podría otorgar a un usuario malicioso el control total del sistema afectado a través de la ejecución remota de código arbitrario.

Descripción

La Agencia de Ciberseguridad e Infraestructura, por sus siglas en inglés, CISA, ha identificado una Prueba de Concepto (PoC) que aprovecha la vulnerabilidad presente en el protocolo de comunicación de red SMBv3 (Service Message Block). La falla tiene asignado el identificador CVE-2020-0796 y es nombrada por los usuarios como “SMBGhost”,”DeepBlue 3: Redmond Drift”, “Bluesday”,”CoronaBlue” o “NexternalBlue”.

Para aprovechar la vulnerabilidad en un servidor SMBv3, un usuario malintencionado que no esté autenticado podría enviar un paquete especialmente diseñado, mientras que para aprovecharse en un cliente SMB, un usuario malintencionado necesitaría configurar un servidor SMBv3 malicioso y convencer al usuario de conectarse a este. Un atacante que logre aprovechar de forma exitosa la vulnerabilidad podría ejecutar código con privilegios del usuario “SYSTEM” en el servidor objetivo o en un cliente SMB que se comunique con el servidor comprometido.

La PoC disponible públicamente hace uso de esta falla y logra la ejecución de código remoto en dispositivos con sistema operativo Windows 10. Si bien, el código no es 100% confiable, las investigaciones realizadas aseguran que esta PoC funciona mejor en Windows 10 v1903, sin embargo, en v1909 se obtuvieron inconsistencias en la ejecución de código, pero mediante varios intentos un atacante puede lograr su objetivo.

Cabe destacar que esta falla y la PoC pueden ocasionar un resultado similar a las infecciones por ransomware más importantes que aprovechan este protocolo como son WannaCry y NotPetya, los cuales utilizaron el programa malicioso llamado “EternalBlue” y ocasionaron afectaciones a muchas organizaciones a lo largo de todo el mundo.

A pesar de que Microsoft ya corrigió esta falla en el mes de marzo, hay muchos dispositivos vulnerables, y hoy en día, los usuarios maliciosos están haciendo uso de esta PoC para aprovechar los sistemas y comprometerlos.

La Prueba de Concepto se puede consultar en la siguiente URL:

Nivel de riesgo

  • Crítico

Sistemas/tecnologías afectadas

  • Windows 10 versión 1903 para sistemas de 32 bits
  • Windows 10 versión 1903 para sistemas basados en ARM64
  • Windows 10 versión 1903 para sistemas basados en x64
  • Windows 10 versión 1909 para sistemas de 32 bits
  • Windows 10 versión 1909 para sistemas basados en ARM64
  • Windows 10 versión 1909 para sistemas basados en x64
  • Windows Server, versión 1903 (Server Core installation)
  • Windows Server, versión 1909 (Server Core installation)

Medidas de contención

  • Limitar el uso de este protocolo cuando no este no sea necesario, considerando escenarios como equipos de cómputo de usuario final.
  • Bloquear en el firewall perimetral el tráfico de entrada y salida en el puerto TCP 445.
  • Deshabilitar la compresión en el protocolo SMBv3.

Indicadores de compromiso IoCs

A continuación se listan las actualizaciones de seguridad liberadas por Microsoft para corregir la vulnerabilidad reportada en esta alerta:

  • Actualización de seguridad para Windows 10 versión 1903 para sistemas de 32 bits (KB4551762)
  • Actualización de seguridad para Windows 10 versión 1903 para sistemas basados en ARM64 (KB4551762)
  • Actualización de seguridad para Windows 10 versión 1903 para sistemas basados en x64 (KB4551762)
  • Actualización de seguridad para Windows 10 versión 1909 para sistemas de 32 bits (KB4551762)
  • Actualización de seguridad para Windows 10 versión 1909 para sistemas basados en ARM64 (KB4551762)
  • Actualización de seguridad para Windows 10 versión 1909 para sistemas basados en x64 (KB4551762)
  • Actualización de seguridad para Windows Server versión 1903 (Server Core Installation) (KB4551762)
  • Actualización de seguridad para Windows Server versión 1909 (Server Core Installation) (KB4551762)

Referencias