0-day en SMB afecta a múltipes versiones de Windows, incluyendo Windows 10



El miercoles pasado el investigador Laurent Gaffie anunció en un tweet encontró una vulnerabilidad 0-Day en SMBv3 y publicó un exploit como Prueba de Concepto. US-CERT ha publicado advisory oficial para informar al respecto. Microsoft no parcheará hasta el día 14 de febrero, es decir, el segundo martes de cada mes.



Vulnerabilidad  potencial de SMB (Server Message Block)


SMB es un servicio está disponible universalmente para los sistemas Windows y las versiones heredadas de los protocolos SMB podrían permitir a un atacante remoto obtener información confidencial de los sistemas afectados. US-CERT recomienda que los usuarios y administradores consideren:

  • Inhabilitando SMB v1 y
  • Bloqueando todas las versiones de SMB en el límite de red bloqueando el puerto TCP 445 con los protocolos relacionados en los puertos UDP 137-138 y TCP 139, para todos los dispositivos fronterizos.

US-CERT advierte a los usuarios y administradores que la inhabilitación o bloqueo de SMB puede crear problemas al obstruir el acceso a archivos, datos o dispositivos compartidos. Los beneficios de la mitigación deben sopesarse frente a posibles interrupciones de los usuarios. Para obtener más información sobre SMB, consulte los Avisos de seguridad de Microsoft 2696547 (el vínculo es externo) y 204279 (el enlace es externo).

Gaffie reveló en privado el problema a Microsoft el 25 de septiembre pasado y la empresa le dijo que tenía un parche listo para su lanzamiento en diciembre, pero decidió esperar hasta su actualización programada de febrero para liberar varios parches de SMB en lugar de una única solución en diciembre. Esto es porque Microsoft considera que la vulnerabilidad, un error de denegación de servicio que se puede activar remotamente, es de bajo riesgo.
Gaffie dijo que la vulnerabilidad es un Null Pointer Dereference en SMBy que afecta a Windows Server 2012 y 2016. Aunque Gaffie dice que las conexiones SMB pueden realizarse a través de un puerto un 445 abierto, un análisis realizado entre él y Microsoft concluyó que no es posible realizar ejecución de código (RCE) y, como SMB generalmente no está expuesto a Internet, la vulnerabilidad tiene riesgo bajo.

Gaffie dijo que decidió publicar los detalles antes de la disponibilidad del parche porque no es su primera experiencia trabajando con Microsoft donde han retrasado el lanzamiento de la corrección.

Johannes Ulrich, Director del SANS Internet Storm Center, dijo que ejecutó el exploit de Gaffie y pudo confirmar que causa un DoS con un Blue Screen en mrxsmb20.sys.



"Las versiones modernas de Windows tienen varios mecanismos de protección para evitar la ejecución remota de exploits como este", dijo Ullrich. "Probablemente sería difícil, pero no necesariamente imposible".

Deja de usar SMBv1

Hay tres versiones de este protocolo, y Microsoft, a través de la voz de uno de sus ingenieros, ha instado a los administradores del sistema a desactivar SMBv1 y pasar a SMBv2 o SMBv3 (preferido). El día cero afecta a la última versión, SMBv3. 
 
El protocolo SMB1 original tiene casi 30 años de antigüedad, y como gran parte del software hecho en los años 80, fue diseñado para un mundo que ya no existe. Un mundo sin actores maliciosos, sin vastos conjuntos de datos importantes, sin un uso casi universal del ordenador. Francamente, su ingenuidad es sorprendente cuando se ve a través de los ojos modernos. 


 





Fuentes:

http://blog.segu-info.com.ar/2017/02/microsoft-lanzara-parche-para-una.html
https://threatpost.com/microsoft-waits-for-patch-tuesday-to-fix-smb-zero-day/123541/
https://isc.sans.edu/diary/Windows%2BSMBv3%2BDenial%2Bof%2BService%2BProof%2Bof%2BConcept%2B%280%2BDay%2BExploit%29/22029

Via: blog.elhacker.net
0-day en SMB afecta a múltipes versiones de Windows, incluyendo Windows 10 0-day en SMB afecta a múltipes versiones de Windows, incluyendo Windows 10 Reviewed by Zion3R on 13:16 Rating: 5