Obrir sessió
logo

DEFENSA DAVANT DE LES CIBERAMENACES

ÚLTIMA HORA


barra-separadora

CCN-CERT AL 03/20 (2) Vulnerabilidad en SMBv3 de Microsoft. Publicación de parche

 
  ALERTA  
     
 

Vulnerabilidad en SMBv3 de Microsoft: publicación de parche

Fecha de publicación: 12/03/2020

Nivel de criticidad: CRÍTICA

La Capacidad de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación por parte de Microsoft de una actualización de seguridad que soluciona la vulnerabilidad en el protocolo de comunicación SMBv3: CVE-2020-0796.

El CCN-CERT recomienda encarecidamente a todos sus usuarios que se descarguen el parche en el siguiente enlace:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005

Vulnerabilidad

La vulnerabilidad, de cuya existencia el CCN-CERT ha avisado en su Boletín 03/20, estaba localizada en el protocolo Microsoft Server Message Block 3.1.1 (SMBv3). Según diferentes investigaciones, se trata de un desbordamiento de memoria debido a un error en el manejo de paquetes de datos comprimidos.

Un atacante remoto no autenticado podría diseñar y enviar este tipo de paquetes, con fines malintencionados, a un servidor SMBv3 vulnerable y ejecutar código dentro del contexto de una aplicación concreta, siempre y cuando existan conexiones activas desde máquinas cliente a dicho servidor bajo SMBv3. Este tipo de vulnerabilidad provoca que los sistemas estén expuestos a ataques "wormables", por lo que las infecciones entre máquinas cliente puede ser muy rápida y con muy poca complejidad.

Cabe recordar que SMB de Microsoft también es el protocolo de comunicación utilizado por las variantes de ransomware WannaCry y NotPetya que durante el pasado año 2017 tuvieron un impacto severo a nivel mundial. En este caso el fallo afecta únicamente a la última versión de este protocolo (SMBv3) que sólo está presente de forma predeterminada en las versiones más modernas del sistema operativo Windows. Hasta la fecha, no se han detectado pruebas de concepto o exploits para esta vulnerabilidad y tampoco se tiene conocimiento de evidencias sobre su explotación activa en la red.

Recursos afectados:

  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows Server, version 1903 (Server Core installation)
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows Server, version 1909 (Server Core installation)

Solución a la vulnerabilidad:

Al margen de la actualización o parche publicado por Microsoft, existen medidas de mitigación para reducir el riesgo ante un posible ataque que aproveche esta vulnerabilidad. En primer lugar se debe restringir el acceso a la red al puerto 445 TCP en máquinas cliente y, a nivel de servidor, deshabilitar la compresión en el protocolo SMBv3.

Para llevar a cabo la deshabilitación de la compresión se recomienda seguir los siguientes pasos publicados tanto por Microsoft como por investigadores de seguridad ajenos a Microsoft:

Microsoft:

  • Ejecutar en powershell:
    • Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Otras investigaciones:

  1. Ir a HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LanManWorkstation \ Parameters
  2. Crear un valor DWORD llamado "CompressionEnabled".
  3. Establecer su valor en 0.

Es importante señalar que la deshabilitación de la compresión de SMBv3 en servidores no soluciona la vulnerabilidad en máquinas cliente.

Adicionalmente, se han hecho públicas diferentes herramientas para testear y localizar servidores vulnerables:

Bash script para Nmap:

https://gist.githubusercontent.com/nikallass/40f3215e6294e94cde78ca60dbe07394/raw/84d803de937f5b6810df4441cc84f0fa63991e2e/check-smb-v3.11.sh

Python scanner:

https://github.com/ollypwn/SMBGhost

Version para powershell:

https://gist.githubusercontent.com/sysgoblin/c414ad12a8ba144c4fc7f5f439bb2e59/raw/f239f659040ae972026eea3a5a704197f2cdeb46/SMB3LanScan.ps1

Regla Yara:

https://gist.githubusercontent.com/LloydLabs/5e9afdaa172be0c5ac516fe399e6a14e/raw/e44a70e9c681b9be45a276d94c3936e7fd0e8b09/smbghost.yara

Recomendaciones:

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

En este caso es muy recomendable realizar todos los escaneos posibles con el fin de detectar posibles servidores vulnerables y poder aplicar cuanto antes las medidas de mitigación descritas.

Referencias:

Atentamente,

Equipo CCN-CERT

//////////////////////////////////////////////////////////////////////////////////////////

Esta es una lista de notificaciones del CCN-CERT.

Por favor, no responda a este correo. Si necesita más información, póngase en contacto con nosotros a través del correo:

info@ccn-cert.cni.es

Síganos en:

www.ccn-cert.cni.es

//////////////////////////////////////////////////////////////////////////////////////////

El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es). Este servicio se creó en el año 2006 como CERT Gubernamental/Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, el RD 421/2004 regulador del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre.

De acuerdo a todas ellas, es competencia del CCN-CERT la gestión de ciberincidentes que afecten a sistemas del Sector Público, a empresas y organizaciones de interés estratégico para el país y a cualquier sistema clasificado. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas.

---------------------
Claves PGP Públicas
---------------------
info@ccn-cert.cni.es / ccn-cert@ccn-cert.cni.es
--------------------
Fingerprint: 2933 AE1E CB92 548D 6515 B11B 88E9 B0C3 F9CC 1235
Descarga
--------------------

//////////////////////////////////////////////////////////////////////////////////////////

AVISO DE CONFIDENCIALIDAD:
El presente mensaje va dirigido de manera exclusiva a su destinatario.
Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

 
     
© 2020 Centro Criptológico Nacional, Argentona 30, 28023 MADRID

CCN-CERT AL 03/20 Vulnerabilidad en SMBv3 de Microsoft (12/03/2020)

 
  ALERTA  
     
 

Vulnerabilidad en SMBv3 de Microsoft

Fecha de publicación: 12/03/2020

Nivel de criticidad: CRÍTICA

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación una vulnerabilidad en el protocolo de comunicación SMBv3 de Microsoft.

CVE-2020-0796: Vulnerabilidad localizada en el protocolo Microsoft Server Message Block 3.1.1 (SMBv3) de la que por el momento no se conocen los detalles técnicos concretos de la misma. Según diferentes investigaciones, se trata de un desbordamiento de memoria debido a un error en el manejo de paquetes de datos comprimidos.

Un atacante remoto no autenticado podría diseñar y enviar este tipo de paquetes, con fines malintencionados, a un servidor SMBv3 vulnerable y ejecutar código dentro del contexto de una aplicación concreta, siempre y cuando existan conexiones activas desde máquinas cliente a dicho servidor bajo SMBv3. Este tipo de vulnerabilidad provoca que los sistemas estén expuestos a ataques "wormables", por lo que las infecciones entre máquinas cliente puede ser muy rápida y con muy poca complejidad.

Cabe recordar que SMB de Microsoft también es el protocolo de comunicación utilizado por las variantes de ransomware WannaCry y NotPetya que durante el pasado año 2017 tuvieron un impacto severo a nivel mundial. En este caso el fallo afecta únicamente a la última versión de este protocolo (SMBv3) que sólo está presente de forma predeterminada en las versiones más modernas del sistema operativo Windows. Hasta la fecha, no se han detectado pruebas de concepto o exploits para esta vulnerabilidad y tampoco se tiene conocimiento de evidencias sobre su explotación activa en la red.

El CCN-CERT recomienda encarecidamente seguir todas las actualizaciones de Microsoft en el siguiente enlace:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005

Recursos afectados:

  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows Server, version 1903 (Server Core installation)
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows Server, version 1909 (Server Core installation)

Solución a la vulnerabilidad:

Microsoft ha retirado el CVE-2020-0796 de su boletín de seguridad de este mes de marzo ya que por el momento no han publicado ningún tipo de actualización oficial o parche para solucionar el problema. Aún así, Microsoft reconoce el fallo y ha hecho público un aviso indicando que "actualizarán su aviso cuando haya actualizaciones disponibles".

Al margen de las próximas actualizaciones o parches que pueda publicar Microsoft, existen medidas de mitigación para reducir el riesgo ante un posible ataque que aproveche esta vulnerabilidad. En primer lugar se debe restringir el acceso a la red al puerto 445 TCP en máquinas cliente y, a nivel de servidor, deshabilitar la compresión en el protocolo SMBv3.

Para llevar a cabo la deshabilitación de la compresión se recomienda seguir los siguientes pasos publicados tanto por Microsoft como por investigadores de seguridad ajenos a Microsoft:

Microsoft:

  • Ejecutar en powershell:
    • Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Otras investigaciones:

  1. Ir a HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LanManWorkstation \ Parameters
  2. Crear un valor DWORD llamado "CompressionEnabled".
  3. Establecer su valor en 0.

Es importante señalar que la deshabilitación de la compresión de SMBv3 en servidores no soluciona la vulnerabilidad en máquinas cliente.

Adicionalmente, se han hecho públicas diferentes herramientas para testear y localizar servidores vulnerables:

Bash script para Nmap:

https://gist.githubusercontent.com/nikallass/40f3215e6294e94cde78ca60dbe07394/raw/84d803de937f5b6810df4441cc84f0fa63991e2e/check-smb-v3.11.sh

Python scanner:

https://github.com/ollypwn/SMBGhost

Version para powershell:

https://gist.githubusercontent.com/sysgoblin/c414ad12a8ba144c4fc7f5f439bb2e59/raw/f239f659040ae972026eea3a5a704197f2cdeb46/SMB3LanScan.ps1

Regla Yara:

https://gist.githubusercontent.com/LloydLabs/5e9afdaa172be0c5ac516fe399e6a14e/raw/e44a70e9c681b9be45a276d94c3936e7fd0e8b09/smbghost.yara

Recomendaciones:

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

En este caso es muy recomendable realizar todos los escaneos posibles con el fin de detectar posibles servidores vulnerables y poder aplicar cuanto antes las medidas de mitigación descritas.

Referencias:

Atentamente,

Equipo CCN-CERT

//////////////////////////////////////////////////////////////////////////////////////////

Esta es una lista de notificaciones del CCN-CERT.

Por favor, no responda a este correo. Si necesita más información, póngase en contacto con nosotros a través del correo:

info@ccn-cert.cni.es

Síganos en:

www.ccn-cert.cni.es

//////////////////////////////////////////////////////////////////////////////////////////

El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es). Este servicio se creó en el año 2006 como CERT Gubernamental/Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, el RD 421/2004 regulador del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre.

De acuerdo a todas ellas, es competencia del CCN-CERT la gestión de ciberincidentes que afecten a sistemas del Sector Público, a empresas y organizaciones de interés estratégico para el país y a cualquier sistema clasificado. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas.

---------------------
Claves PGP Públicas
---------------------
info@ccn-cert.cni.es / ccn-cert@ccn-cert.cni.es
--------------------
Fingerprint: 2933 AE1E CB92 548D 6515 B11B 88E9 B0C3 F9CC 1235
Descarga
--------------------

//////////////////////////////////////////////////////////////////////////////////////////

AVISO DE CONFIDENCIALIDAD:
El presente mensaje va dirigido de manera exclusiva a su destinatario.
Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

 
     
© 2020 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
Tornar

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración