Microsoft lanzó un parche para CVE-2020-0796, una vulnerabilidad crítica de ejecución remota de código en Server Message Block 3.1.1 (SMBv3) para Microsoft Windows 10 versiones 1903 y 1909 y Windows Server 1903 y 1909. La falla, denominada EternalDarkness, fue revelada por error el pasado martes de parches por otro proveedor de seguridad. El parche aborda la forma en que el protocolo SMBv3 maneja las solicitudes especialmente diseñadas, utilizando compresión.
Según Microsoft, un atacante sin privilegios podría aprovechar esta vulnerabilidad enviando un paquete especialmente diseñado a un servidor SMBv3 o infectando un servidor SMBv3 vulnerable. Para explotar un cliente SMB, el atacante necesitaría convencer a un usuario para que establezca una conexión con un servidor ya comprometido.
La explotación exitosa de la vulnerabilidad le daría al atacante entrada a cualquier acción sobre el activo comprometido: el robo de información, la interrupción del servicio o el secuestro informático del activo para obtener una recompensa monetaria (ransomware) son solo algunos ejemplos. La característica de esta vulnerabilidad de poder ejecutar de forma remota, sin tener acceso físico a las computadoras, la hace especialmente peligrosa.
A continuación el listado de las versiones de Microsoft Windows y Windows Server que se ven afectadas por esta vulnerabilidad:
Windows Server versión 1903 (instalación de Server Core)
Windows Server versión 1909 (instalación de Server Core)
Windows 10 versión 1903 para sistemas de 32 bits
Windows 10 versión 1903 para sistemas basados en ARM64
Windows 10 versión 1903 para sistemas x64
Windows 10 versión 1909 para sistemas de 32 bits
Windows 10 versión 1909 para sistemas basados en ARM64
Windows 10 versión 1909 para sistemas x64
Tenable Research recomendó las siguientes acciones para identificar y eliminar el riesgo:
- Identificar los activos con la vulnerabilidad CVE-2020-0796 a través de un escaneo con los plugins 134420 (revisión local) y el plugin 134421 (revisión remota). Este último permite la identificación de la vulnerabilidad aún sin contar con credenciales privilegiadas para los sistemas. Pueden encontrarlas en tenable.com/plugins.
- Deshabilitar la compresión de SMBv3 y bloquear el puerto TCP 445 en ambos sentidos en el firewall del perímetro.
- Aplicar el parche en estos equipos.
