SMB (Server Message Block) es un protocolo de red de la capa de aplicación que permite compartir archivos y periféricos, entre nodos de una red de computadoras que utilizan los sistemas operativos Microsoft Windows.
Microsoft ha filtrado información en una actualización de seguridad para una vulnerabilidad de tipo ejecución de código remoto (RCE) que puede ser usada como gusano (wormable), encontrada en el protocolo de comunicación de red SMBv3, dicha falla debía ser parcheada en este mes, durante las actualizaciones de seguridad del segundo martes de Marzo (Microsoft Patch Tuesday). Los expertos agregan que su explotación podría abrir a los sistemas a un ataque “wormable”, ya que puede moverse fácilmente entre una víctima a otra, además de tomar control de los sistemas vulnerables.
La vulnerabilidad se debe a un error en SMBv3 por mala manipulación de paquetes de datos comprimidos diseñados maliciosamente, permitiendo a un atacante sin autentificación ejecutar código arbitrario dentro del contexto de la aplicación.
El aviso de vulnerabilidad no fue publicado a todos los usuarios y Microsoft no dio explicación al respecto, los detalles fueron lanzados por los miembros de “Microsoft Active Protections Program” quienes tuvieron acceso temprano a la falla (CVE-2020-0796).
Microsoft a publicado una advertencia de seguridad con los detalles de la falla, donde recomendaron desactivar la compresión de los servidores SMBv3 con el siguiente comando de PowerShell:
“Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force”
Para mayores detalles sobre la vulnerabilidad seguir el enlace de referencia.
Referencia:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005
COMENTARIOS