Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1096
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
▼
marzo
(Total:
11
)
- Desarticulan organización internacional acusada de...
- Pornhub da acceso gratis premium en Italia-España ...
- Nueva vulnerabilidad procesadores Intel: Load Valu...
- Desarticulan Necurs, la botnet más grande del mund...
- CPUs AMD modernas vulnerables a un ataque de canal...
- SMBGhost: vulnerabilidad crítica en SMB de Windows
- Vulnerabilidad en firmware de Intel no se puede re...
- Fallo crítico en PPP deja sistemas Linux expuestos
- La contraseña de la CIA para sus herramientas hack...
- Apple acuerda pagar hasta 500 millones de dólares ...
- 55.000$ de recompensa por reportar vulnerabilidad ...
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
307
)
Malware
(
266
)
Windows
(
246
)
android
(
244
)
cve
(
239
)
tutorial
(
238
)
manual
(
223
)
software
(
206
)
hardware
(
197
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
-
Los servidores MS-SQL están siendo hackeados a través de ataques de fuerza bruta o diccionario que aprovechan las credenciales de cuenta f...
SMBGhost: vulnerabilidad crítica en SMB de Windows
miércoles, 11 de marzo de 2020
|
Publicado por
el-brujo
|
Editar entrada
Este segundo martes de mes es uno de los más interesantes de los últimos
años para la ciberseguridad. 117 vulnerabilidades corregidas, 25 de
ellas críticas, una cantidad solo superada por el martes de marzo de
2017 (139). Ninguna de las vulnerabilidades ha sido filtrada o se le
conoce exploit con anterioridad. La mayoría de fallos críticos se
encuentran en los motores de scripting, VBScript y Chakra.
La vulnerabilidad, identificada como CVE-2020-0796, es una falla de ejecución remota de código que afecta a Windows 10 versión 1903 y 1909, y Windows Server versión 1903 y 1909. Se cuentan casi 48.000 sistemas Windows vulnerables y accesibles a través de Internet.
Server Message Block (SMB), que se ejecuta sobre el puerto TCP 445, es un protocolo de red que ha sido diseñado para permitir el intercambio de archivos, la exploración de la red, los servicios de impresión y la comunicación entre procesos a través de una red.
El fallo se ha colado de alguna manera en los "previews" de los fabricantes. Tenía asignado CVE-2020-0796 y parece que en el último momento MS se ha arrepentido y en vez de parche, ha sacado "advisory". Luego los fabricantes han retirado toda referencia al problema.
No es tontería porque WannaCry explotaba un fallo bastante similar en la versión 1 de SMB. Este problema en la 3 (3.1.1 para ser exactos), del que ahora todos hablan pero al parecer ni existe oficialmente, está en el componente de compresión de SMBv3, algo relativamente reciente.
La capacidad de compresión en SMB se introdujo a finales de 2019 con la versión 3.1.1 del protocolo (un "dialecto" del 3, le dicen) y el flag SMB3_compression_capabilities. La versión 2 ya la tenía, y aceleraba la compartición por red de los datos.
Microsoft dijo que este fallo puede ser explotadaosi un usuario ejecuta Application Inspector en un programa pirateado o atrapado. Animesh Jain, del proveedor de seguridad Qualys, dice que este parche debe tener prioridad, a pesar de que Microsoft lo califique como menos severo ("importante" versus "crítico").
Pero lo más curioso es el fallo que solo ha sido visible durante un tiempo (SMBGhost, lo llaman), CVE-2020-0796 en SMBv3. Un pequeño misterio que no trae buenos recuerdos a la comunidad. Por varias razones:
Para deshabilitar la compresión en servidores SMBv3, se puede utilizar este comando de PowerShell (no se requiere reiniciar, no evita la explotación de clientes SMB):
Actualizado: Ya hay parche:
La última vulnerabilidad, para la cual una actualización de parche (KB4551762) ahora está disponible en el sitio web de Microsoft, existe en la forma en que el protocolo SMBv3 maneja las solicitudes con encabezados de compresión, lo que hace posible que los atacantes remotos no autenticados ejecuten código malicioso en servidores o clientes objetivo con privilegios SYSTEM.
Análisis técnico:
Fuentes:
https://cybersecuritypulse.e-paths.com/index.html?lan=es#11032020
https://twitter.com/ssantosv/status/1237645949708705793
https://blog.segu-info.com.ar/2020/03/coronablue-o-smbghost-vulnerabilidad.html
La vulnerabilidad, identificada como CVE-2020-0796, es una falla de ejecución remota de código que afecta a Windows 10 versión 1903 y 1909, y Windows Server versión 1903 y 1909. Se cuentan casi 48.000 sistemas Windows vulnerables y accesibles a través de Internet.
Server Message Block (SMB), que se ejecuta sobre el puerto TCP 445, es un protocolo de red que ha sido diseñado para permitir el intercambio de archivos, la exploración de la red, los servicios de impresión y la comunicación entre procesos a través de una red.
Application Inspector
El fallo se ha colado de alguna manera en los "previews" de los fabricantes. Tenía asignado CVE-2020-0796 y parece que en el último momento MS se ha arrepentido y en vez de parche, ha sacado "advisory". Luego los fabricantes han retirado toda referencia al problema.
No es tontería porque WannaCry explotaba un fallo bastante similar en la versión 1 de SMB. Este problema en la 3 (3.1.1 para ser exactos), del que ahora todos hablan pero al parecer ni existe oficialmente, está en el componente de compresión de SMBv3, algo relativamente reciente.
La capacidad de compresión en SMB se introdujo a finales de 2019 con la versión 3.1.1 del protocolo (un "dialecto" del 3, le dicen) y el flag SMB3_compression_capabilities. La versión 2 ya la tenía, y aceleraba la compartición por red de los datos.
Microsoft dijo que este fallo puede ser explotadaosi un usuario ejecuta Application Inspector en un programa pirateado o atrapado. Animesh Jain, del proveedor de seguridad Qualys, dice que este parche debe tener prioridad, a pesar de que Microsoft lo califique como menos severo ("importante" versus "crítico").
Pero lo más curioso es el fallo que solo ha sido visible durante un tiempo (SMBGhost, lo llaman), CVE-2020-0796 en SMBv3. Un pequeño misterio que no trae buenos recuerdos a la comunidad. Por varias razones:
- Este CVE solo ha sido reportado por Talos y Fortinet, no por Microsoft, durante un breve periodo de tiempo. Parece que tenían acceso a información privilegiada y Microsoft ha decidido, en el último minuto, no publicar el parche para este fallo, por lo que estas empresas han retirado el anuncio.
- Se trata de un problema de ejecución de código gusanable en SMBv3, similar a la explotada por WannaCry pero en otras versiones del protocolo solo presentes en las versiones 1909 y 1903 de Windows 10.
- Microsoft sí ha publicado un “advisory” (pero no un parche) sobre cómo deshabilitar la compresión de SMBv3. Esto refuerza la idea de que tenía un parche listo que ha retirado en el último momento.
CVE-2020-0796 is a remote code execution vulnerability in Microsoft Server Message Block 3.0 (SMBv3). An attacker could exploit this bug by sending a specially crafted packet to the target SMBv3 server, which the victim needs to be connected to. Users are encouraged to disable SMBv3 compression and block TCP port 445 on firewalls and client computers. The exploitation of this vulnerability opens systems up to a "wormable" attack, which means it would be easy to move from victim to victim.
Para deshabilitar la compresión en servidores SMBv3, se puede utilizar este comando de PowerShell (no se requiere reiniciar, no evita la explotación de clientes SMB):
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -ForceScript
Actualizado: Ya hay parche:
La última vulnerabilidad, para la cual una actualización de parche (KB4551762) ahora está disponible en el sitio web de Microsoft, existe en la forma en que el protocolo SMBv3 maneja las solicitudes con encabezados de compresión, lo que hace posible que los atacantes remotos no autenticados ejecuten código malicioso en servidores o clientes objetivo con privilegios SYSTEM.
Análisis técnico:
Fuentes:
https://cybersecuritypulse.e-paths.com/index.html?lan=es#11032020
https://twitter.com/ssantosv/status/1237645949708705793
https://blog.segu-info.com.ar/2020/03/coronablue-o-smbghost-vulnerabilidad.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.