Este segundo martes de mes es uno de los más interesantes de los últimos años para la ciberseguridad. 117 vulnerabilidades corregidas, 25 de ellas críticas, una cantidad solo superada por el martes de marzo de 2017 (139). Ninguna de las vulnerabilidades ha sido filtrada o se le conoce exploit con anterioridad. La mayoría de fallos críticos se encuentran en los motores de scripting, VBScript y Chakra.




La vulnerabilidad, identificada como CVE-2020-0796, es una falla de ejecución remota de código que afecta a Windows 10 versión 1903 y 1909, y Windows Server versión 1903 y 1909. Se cuentan casi 48.000 sistemas Windows vulnerables y accesibles a través de Internet.

Server Message Block (SMB), que se ejecuta sobre el puerto TCP 445, es un protocolo de red que ha sido diseñado para permitir el intercambio de archivos, la exploración de la red, los servicios de impresión y la comunicación entre procesos a través de una red.

Application Inspector

El fallo se ha colado de alguna manera en los "previews" de los fabricantes. Tenía asignado CVE-2020-0796 y parece que en el último momento MS se ha arrepentido y en vez de parche, ha sacado "advisory". Luego los fabricantes han retirado toda referencia al problema.

No es tontería porque WannaCry explotaba un fallo bastante similar en la versión 1 de SMB. Este problema en la 3 (3.1.1 para ser exactos), del que ahora todos hablan pero al parecer ni existe oficialmente, está en el componente de compresión de SMBv3, algo relativamente reciente.

La capacidad de compresión en SMB se introdujo a finales de 2019 con la versión 3.1.1 del protocolo (un "dialecto" del 3, le dicen) y el flag SMB3_compression_capabilities. La versión 2 ya la tenía, y aceleraba la compartición por red de los datos.  

Microsoft dijo que este fallo puede ser explotadaosi un usuario ejecuta Application Inspector en un programa pirateado o atrapado. Animesh Jain, del proveedor de seguridad Qualys, dice que este parche debe tener prioridad, a pesar de que Microsoft lo califique como menos severo ("importante" versus "crítico"). 

 

Pero lo más curioso es el fallo que solo ha sido visible durante un tiempo (SMBGhost, lo llaman), CVE-2020-0796 en SMBv3. Un pequeño misterio que no trae buenos recuerdos a la comunidad. Por varias razones:

• Este CVE solo ha sido reportado por Talos y Fortinet, no por Microsoft, durante un breve periodo de tiempo. Parece que tenían acceso a información privilegiada y Microsoft ha decidido, en el último minuto, no publicar el parche para este fallo, por lo que estas empresas han retirado el anuncio.
• Se trata de un problema de ejecución de código gusanable en SMBv3, similar a la explotada por WannaCry pero en otras versiones del protocolo solo presentes en las versiones 1909 y 1903 de Windows 10.
• Microsoft sí ha publicado un “advisory” (pero no un parche) sobre cómo deshabilitar la compresión de SMBv3. Esto refuerza la idea de que tenía un parche listo que ha retirado en el último momento. 

CVE-2020-0796 is a remote code execution vulnerability in Microsoft Server Message Block 3.0 (SMBv3). An attacker could exploit this bug by sending a specially crafted packet to the target SMBv3 server, which the victim needs to be connected to. Users are encouraged to disable SMBv3 compression and block TCP port 445 on firewalls and client computers. The exploitation of this vulnerability opens systems up to a "wormable" attack, which means it would be easy to move from victim to victim.

Microsoft ha publicado un aviso que recomienda que los usuarios deshabiliten la compresión SMBv3 hasta que puedan parchear. Los usuarios también pueden mitigar el riesgo bloqueando el puerto TCP 445 en los firewall perimetrales, pero esto aún permitiría lanzar ataques desde dentro de la red. Los usuarios también pueden seguir las pautas de Microsoft para evitar que el tráfico SMB salga de la red corporativa.

Para deshabilitar la compresión en servidores SMBv3, se puede utilizar este comando de PowerShell (no se requiere reiniciar, no evita la explotación de clientes SMB):

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Script

• Rename Patch SMBGhost.ps1 to SMBGhost Unauthenticated Workaround.ps1

Actualizado: Ya hay parche:

La última vulnerabilidad, para la cual una actualización de parche (KB4551762) ahora está disponible en el sitio web de Microsoft, existe en la forma en que el protocolo SMBv3 maneja las solicitudes con encabezados de compresión, lo que hace posible que los atacantes remotos no autenticados ejecuten código malicioso en servidores o clientes objetivo con privilegios SYSTEM.

Análisis técnico:

• https://www.synacktiv.com/posts/exploit/im-smbghost-daba-dee-daba-da.html

Fuentes:
https://cybersecuritypulse.e-paths.com/index.html?lan=es#11032020
https://twitter.com/ssantosv/status/1237645949708705793
https://blog.segu-info.com.ar/2020/03/coronablue-o-smbghost-vulnerabilidad.html