Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/03/2020
Detectada vulnerabilidad en protocolo SMBv3
Microsoft publicó el día 10 de Marzo, en su boletín de seguridad semanal, un aviso de seguridad (ADV200005) donde se identifica una vulnerabilidad que afecta al protocolo SMBv3 en sistemas Windows. El CVE-2020-0796 esta catalogado como crítico y su explotación permitiría ejecución de código de forma remota.Un atacante no autenticado podría explotar la vulnerabilidad enviando una petición especialmente diseñada a un servidor con SMBv3. Desde el lado del cliente, un atacante tendría que engañar a un usuario para que se conectara a un servidor, previamente comprometido.
Si la vulnerabilidad fuera explotada con éxito, el atacante podría ejecutar código de forma remota tanto en el servidor SMB como en el cliente SMB.
Sistemas Afectados:Las versiones afectadas son:
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows Server, version 1903 (Server Core installation)
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows Server, version 1909 (Server Core installation)
CVE-2020-0796
Solución:Microsoft todavía no ha publicado una actualización de seguridad para corregir esta vulnerabilidad, no obstante en cuanto esté disponible se recomienda su aplicación inmediata. Como medidas preventivas recomendamos las siguientes:
Recomendaciones en el servidor:
- Deshabilitar SMBv3 compression mediante el siguiente comando:
- Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
- Una vez estén disponibles los parches y se hayan aplicado, volver a habilitar SMBv3 compression mediante el siguiente comando:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
Recomendaciones en el cliente:
- Bloquear el puerto 445 en el firewall de los equipos cliente.
Recomendaciones en el firewall:
- Revisar si el puerto 445 esta bloqueado para las conexiones externas, y en el caso de que no lo estuviera bloquearlo hasta que se apliquen los parches correspondientes.
A continuación disponen de mayor información sobre está vulnerabilidad:
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
- https://es-la.tenable.com/blog/cve-2020-0796-wormable-remote-code-execution-vulnerability-in-microsoft-server-message-block?tns_redirect=true
- https://securityaffairs.co/wordpress/99340/hacking/cve-2020-0796-smb-flaw.html
- https://fortiguard.com/encyclopedia/ips/48773