TLP: White
Nivel de riesgo: CVSS v3.1: 8.8 [Alto]
Acción Requerida: Aplicar las actualizaciones de seguridad que corrigen la vulnerabilidad en Microsoft SQL Server liberadas por Microsoft el 11 de febrero de 2020.
Vector de ataque:  Red, Acceso Remoto.
Impacto: El aprovechamiento exitoso de esta vulnerabilidad podría otorgar a un usuario malicioso el control del sistema afectado a través de la ejecución remota de código arbitrario.

Descripción

El 11 de febrero de 2020 Microsoft liberó un paquete de actualizaciones de seguridad que corrigen un total de 99 vulnerabilidades en distintos productos de la compañía, entre las que destaca una falla presente en Microsoft SQL Server Reporting Services. El identificador asignado a esta vulnerabilidad es CVE-2020-0618 v3.1 – 8.8 [Alta].

La criticidad en esta falla radica en que puede ser aprovechada de forma remota y permite la ejecución de código arbitrario. Para aprovechar la vulnerabilidad, un atacante necesita enviar una solicitud especialmente diseñada a una instancia afectada de “Reporting Services”; una vez que logre aprovechar el fallo podrá ejecutar código arbitrario en el equipo comprometido con permisos de administrador.

MNEMO-CERT ha identificado una Prueba de Concepto en Internet mediante la cual se envía una solicitud HTTP con código malicioso al servidor vulnerable para obtener acceso al dispositivo afectado, la cual puede ser consultada en la siguiente URL:

Nivel de riesgo

  • CVSS v3.1: 8.8 [Alto]

Sistemas/tecnologías afectadas:

Vulnerabilidad CVE-2020-0618.

  • Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 4 (QFE).
  • Microsoft SQL Server 2012 para sistemas x64 Service Pack 4 (QFE).
  • Microsoft SQL Server 2014 Service Pack 3 para sistemas de 32 bits (CU).
  • Microsoft SQL Server 2014 Service Pack 3 para sistemas de 32 bits (GDR).
  • Microsoft SQL Server 2014 Service Pack 3 para sistemas basados en x64 (CU).
  • Microsoft SQL Server 2014 Service Pack 3 para sistemas basados en x64 (GDR).
  • Microsoft SQL Server 2016 para sistemas x64 Service Pack 2 (CU).
  • Microsoft SQL Server 2016 para sistemas x64 Service Pack 2 (GDR).

Medidas de contención

  • Limitar el acceso a la aplicación solo a orígenes de conexión autorizados.
  • Renombrar las cuentas de usuario creadas de manera predeterminada.

Medidas de erradicación

A continuación se listan las actualizaciones de seguridad liberadas por Microsoft para corregir la vulnerabilidad reportada en esta alerta:

  • Actualización para Microsoft SQL Server 2012 para sistemas de 32 bits Service Pack 4 QFE (KB4532098)
  • Actualización para Microsoft SQL Server 2012 para sistemas x64 Service Pack 4 QFE (KB4532098)
  • Actualización para Microsoft SQL Server 2014 Service Pack 3 para sistemas de 32 bits CU (KB4535288)
  • Actualización para Microsoft SQL Server 2014 Service Pack 3 para sistemas de 32 bits GDR (KB4532095)
  • Actualización para Microsoft SQL Server 2014 Service Pack 3 para sistemas basados en x64 CU (KB4535288)
  • Actualización para Microsoft SQL Server 2014 Service Pack 3 para sistemas basados en x64 GDR (KB4532095)
  • Actualización para Microsoft SQL Server 2016 para sistemas x64 Service Pack 2 CU (KB4535706)
  • Actualización para Microsoft SQL Server 2016 para sistemas x64 Service Pack 2 GDR (KB4532097)

Referencias