Filtran por error una grave vulnerabilidad en SMB sin parche

Filtran por error una grave vulnerabilidad en SMB sin parche

Javier Jiménez

Nos hacemos eco de una noticia donde informan sobre cómo se han filtrado los detalles de una vulnerabilidad en el protocolo SMB de Microsoft. Este fallo de seguridad en la actualidad no tiene parches para corregirlo y está disponible para cualquiera. Se trata de una vulnerabilidad que se ha filtrado por error durante el ciclo de actualización de los parches mensuales a los que nos tiene acostumbrados Microsoft: Patch Tuesday o Martes de Parches.

Filtran por error una vulnerabilidad del protocolo SMB

Hay que tener en cuenta que no se han filtrado los detalles técnicos de esta vulnerabilidad del protocolo SMB de Microsoft. Sin embargo sí se han hecho públicos algunos resúmenes que describen el error tanto en la página web de Ciscos Talos como en la de Fortinet.

Este fallo de seguridad ha sido registrado como CVE-2020-0796. Como hemos indicado no tiene parche aún, por lo que no ha sido incluido en los parches de este pasado martes, fecha en la que Microsoft actualiza de forma regular las posibles vulnerabilidades encontradas durante ese mes. No está claro por el momento cuándo podremos solucionar este problema de seguridad.

Desde Fortinet han calificado como de “gravedad máxima” este problema. Indican que el error de seguridad se ha descrito como una vulnerabilidad de desbordamiento de búfer en servidores SMB de Microsoft. El fallo consiste en que el software vulnerable maneja un paquete de datos comprimido creado con fines malintencionados. Esto permite que un atacante remoto sin autenticación pudiera explotarlo y ejecutar código de forma arbitraria.

Compartir archivos SMB CIFS

Comparable a EternalBlue

Algunos investigadores de seguridad ya han alertado de que esta vulnerabilidad CVE-2020-0796 es comparable con EternalBlue. El impacto de un error de seguridad de este tipo podría ser equiparable a lo que hemos experimentado durante WannaCry y NotPetya. Ya sabemos que fueron dos de las más importantes amenazas que ha habido presentes en la red en los últimos tiempos.

Sin embargo, como hemos mencionado, a día de hoy no hay riesgo real para las organizaciones al no haberse hecho público más que un resumen de lo que es la amenaza. No obstante, eso no descarta que los piratas informáticos comiencen a buscar la manera de atacar esta vulnerabilidad encontrada en SMBv3.

Esto último también es importante resaltar, ya que solo afecta a la versión SMBv3, que es la más reciente en los sistemas de Windows.

Versiones afectadas

Desde Fortinet indican que son las versiones más recientes las que se ven afectadas. Esto incluye Windows 10 v1903, Windows10 v1909, Windows Server v1903 y Windows Server v1909. Todos ellos son vulnerables al error de seguridad CVE-2020-0796.

Se desconoce exactamente por qué se ha filtrado este error, aunque algunos investigadores creen que Microsoft lo tenía en su lista para parchear este mes y finalmente no lo incluyó. También puede que se compartiera de forma accidental la información a través de la API de Microsoft, algo que utilizan algunos antivirus y administradores de sistemas para recopilar información.

En definitiva, se ha filtrado una importante vulnerabilidad aún sin parchear. Sin embargo, como hemos indicado, solo se conoce un resumen de la vulnerabilidad. Esto hace que algunos investigadores de seguridad le hayan puesto el nombre de SMBGhost, ya que saben que el error está ahí pero no pueden verlo.

Os dejamos un artículo donde hablamos de cómo mejorar la seguridad de Windows Defender.