El miercoles pasado el investigador Laurent Gaffie anunció en un tweet encontró una vulnerabilidad 0-Day en SMBv3 y publicó un exploit como Prueba de Concepto. US-CERT ha publicado advisory oficial para informar al respecto.

Gaffie reveló en privado el problema a Microsoft el 25 de septiembre pasado y la empresa le dijo que tenía un parche listo para su lanzamiento en diciembre, pero decidió esperar hasta su actualización programada de febrero para liberar varios parches de SMB en lugar de una única solución en diciembre. Esto es porque Microsoft considera que la vulnerabilidad, un error de denegación de servicio que se puede activar remotamente, es de bajo riesgo.

Gaffie dijo que la vulnerabilidad es un Null Pointer Dereference en SMBy que afecta a Windows Server 2012 y 2016. Aunque Gaffie dice que las conexiones SMB pueden realizarse a través de un puerto un 445 abierto, un análisis realizado entre él y Microsoft concluyó que no es posible realizar ejecución de código (RCE) y, como SMB generalmente no está expuesto a Internet, la vulnerabilidad tiene riesgo bajo.

Gaffie dijo que decidió publicar los detalles antes de la disponibilidad del parche porque no es su primera experiencia trabajando con Microsoft donde han retrasado el lanzamiento de la corrección.

Johannes Ulrich, Director del SANS Internet Storm Center, dijo que ejecutó el exploit de Gaffie y pudo confirmar que causa un DoS con un Blue Screen en mrxsmb20.sys.
"Las versiones modernas de Windows tienen varios mecanismos de protección para evitar la ejecución remota de exploits como este", dijo Ullrich. "Probablemente sería difícil, pero no necesariamente imposible".

Fuente: ThreatPost