TLP: White
Nivel de riesgo: CVSSv3.0 10.0 [Critica]
Acción Requerida: Aplicar las medidas de contención recomendadas por Microsoft en lo que se libera una actualización que solucione la falla.
Vector de ataque:Red, Acceso remoto.
Impacto:El aprovechamiento exitoso de esta vulnerabilidad podría otorgar a un usuario malicioso el control total del sistema afectado a través de la ejecución remota de código arbitrario con permisos elevados.

Descripción

El pasado 10 de marzo Microsoft dio a conocer una vulnerabilidad de ejecución remota de código en el protocolo de comunicación en red SMBv3 (Service Message Block), la cual ha sido catalogada con el identificador CVE-2020-0796 y nombrada por los usuarios como “SMBGhost”,”DeepBlue 3: Redmond Drift”, “Bluesday”,”CoronaBlue” o “NexternalBlue”. Esta vulnerabilidad reside en la forma que el protocolo Microsoft Message Block 3.1.1 (SMBv3) procesa ciertas peticiones, de acuerdo con investigadores de seguridad la vulnerabilidad parece provenir de un desbordamiento de buffer, que ocurre debido a un error en el manejo de paquetes de datos comprimidos. Un usuario que logre aprovechar de forma exitosa la vulnerabilidad podría ejecutar código con privilegios del usuario “SYSTEM” en el servidor objetivo o en un cliente SMB que se comunique con el servidor comprometido.

Para aprovechar la vulnerabilidad en un servidor SMBv3, un usuario malintencionado que no esté autenticado podría enviar un paquete especialmente diseñado, mientras que para aprovecharse en un cliente SMB, un usuario malintencionado que no esté autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer al usuario de conectarse a este.

Hasta el momento no hay evidencia de que esta vulnerabilidad este siendo aprovechada, sin embargo es importante destacar que vulnerabilidades anteriores en el protocolo SMB son utilizadas comúnmente como vector de ataque en intentos de intrusión y movimientos laterales. En los últimos años, algunas de las infecciones por ransomware más importantes que se aprovechan de este protocolo incluyen a WannaCry y NotPetya, por lo que se espera que esta nueva vulnerabilidad abra una puerta a otra ola de ataques.

Microsoft no ha publicado una actualización para solucionar esta vulnerabilidad, por lo que se recomienda seguir las medidas de contención descritas en este aviso de seguridad e instalar la actualización a esta falla en cuento se encuentre disponible.

MNEMO-CERT mediante la colaboración con otros equipos de respuesta a incidentes ha identificado más de 60 mil equipos vulnerables en Internet. Bajo este escenario, un usuario malicioso obtendría acceso a las redes en las que se encuentran estos equipos, pudiendo afectar a otros sistemas vulnerables. A continuación se presentan algunas cifras sobre el número de sistemas identificados:

  • México:835
  • Colombia:330
  • España:513

Prueba de Concepto

A la fecha de publicación del presente documento no se ha observado actividad maliciosa que aproveche la vulnerabilidad CVE-2020-0796, sin embargo, existen diversas publicaciones en Twitter donde se habla de una prueba de concepto publicada de forma privada en el repositorio de GitHub que se lista a continuación.

Identificación de infraestructura susceptible a ser comprometida

Como parte de las actividades orientadas a la detección de los sistemas afectados por la vulnerabilidad CVE-2020-0796, se han liberado herramientas que permiten identificar si un equipo es susceptible a esta. Un ejemplo de este tipo de recursos se encuentra disponible en la siguiente URL:

Nivel de riesgo

  • CVSSv3.0 10.0[Critica] con base en CERT CC

Sistemas/Tecnologías afectadas

  • Windows 10 versión 1903 para sistemas de 32 bits
  • Windows 10 versión 1903 para sistemas basados en ARM64
  • Windows 10 versión 1903 para sistemas basados en x64
  • Windows 10 versión 1909 para sistemas de 32 bits
  • Windows 10 versión 1909 para sistemas basados en ARM64
  • Windows 10 versión 1909 para sistemas basados en x64
  • Windows Server, versión 1903 (Server Core installation)
  • Windows Server, versión 1909 (Server Core installation)

Medidas de contención

  • Limitar el uso de este protocolo cuando no es necesario su uso, considerando escenarios como equipos de cómputo de usuario final.
  • Deshabilitar la compresión en el protocolo SMBv3 mediante el siguiente comando PowerShell.
    Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force

    • No es necesario reiniciar después de ejecutar el comando.
    • Esta medida previene la explotación de la vulnerabilidad en los servidores SMBv3, no siendo así en los clientes.
  • Bloquear en el firewall perimetral el tráfico de entrada y salida en el puerto TCP 445.

Referencias

[Actualización] Medidas de erradicación

  • A continuación se listan las actualizaciones de seguridad liberadas por Microsoft para corregir la vulnerabilidad reportada en esta alerta:
  • Actualización de seguridad para Windows 10 versión 1903 para sistemas de 32 bits (KB4551762)
  • Actualización de seguridad para Windows 10 versión 1903 para sistemas basados en ARM64 (KB4551762)
  • Actualización de seguridad para Windows 10 versión 1903 para sistemas basados en x64 (KB4551762)
  • Actualización de seguridad para Windows 10 versión 1909 para sistemas de 32 bits (KB4551762)
  • Actualización de seguridad para Windows 10 versión 1909 para sistemas basados en ARM64 (KB4551762)
  • Actualización de seguridad para Windows 10 versión 1909 para sistemas basados en x64 (KB4551762)
  • Actualización de seguridad para Windows Server versión 1903 (Server Core Installation) (KB4551762)
  • Actualización de seguridad para Windows Server versión 1909 (Server Core Installation) (KB4551762)