Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/03/2020
Detectada vulnerabilitat en protocol SMBv3
Microsoft va publicar el dia 10 de març, en el seu butlletí de seguretat setmanal, un avís de seguretat (ADV200005) on s'identifica una vulnerabilitat que afecta el protocol SMBv3 en sistemes Windows. El CVE-2020-0796 està catalogat com a crític i la seua explotació permetria execució de codi de manera remota.Un atacant no autenticat podria explotar la vulnerabilitat enviant una petició especialment dissenyada a un servidor amb SMBv3. Des del costat del client, un atacant hauria d'enganyar un usuari perquè es connectara a un servidor, prèviament compromés.
Si la vulnerabilitat fora explotada amb èxit, l'atacant podria executar codi de manera remota tant en el servidor SMB com en el client SMB.
Sistemes Afectats:Les versions afectades són:
- Windows 10 Version 1903 for 32-bit Systems
- Windows 10 Version 1903 for x64-based Systems
- Windows 10 Version 1903 for ARM64-based Systems
- Windows Server, version 1903 (Server Core installation)
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows Server, version 1909 (Server Core installation)
CVE-2020-0796
Solució:Microsoft encara no ha publicat una actualització de seguretat per a corregir aquesta vulnerabilitat, no obstant això, quan estiga disponible es recomana la seua aplicació immediata. Com a mesures preventives recomanem les següents:
Recomanacions en el servidor:
- Deshabilitar SMBv3 compression el comandament següent:
- Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
- Una vez estén disponibles los parches y se hayan aplicado, volver a habilitar SMBv3 compression mediante el siguiente comando:Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 0 -Force
Recomanacions en el client:
- Bloquejar el port 445 en el firewall de los dels equips client.
Recomanacions en el firewall:
- Revisar si el port 445 està bloquejat per a les connexions externes, i en el cas que no ho estiga, bloquejar-lo fins que s'apliquen els pegats corresponents.
A continuació disposen de major informació sobre aquesta vulnerabilitat:
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
- https://es-la.tenable.com/blog/cve-2020-0796-wormable-remote-code-execution-vulnerability-in-microsoft-server-message-block?tns_redirect=true
- https://securityaffairs.co/wordpress/99340/hacking/cve-2020-0796-smb-flaw.html
- https://fortiguard.com/encyclopedia/ips/48773