Vulnerabilidad en SMBv3 de Microsoft: publicación de parche

Fecha de publicación: 12/03/2020

Nivel de criticidad: CRÍTICA

La Capacidad de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación por parte de Microsoft de una actualización de seguridad que soluciona la vulnerabilidad en el protocolo de comunicación SMBv3: CVE-2020-0796.

El CCN-CERT recomienda encarecidamente a todos sus usuarios que se descarguen el parche en el siguiente enlace:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005

Vulnerabilidad

La vulnerabilidad, de cuya existencia el CCN-CERT ha avisado en su Boletín 03/20, estaba localizada en el protocolo Microsoft Server Message Block 3.1.1 (SMBv3). Según diferentes investigaciones, se trata de un desbordamiento de memoria debido a un error en el manejo de paquetes de datos comprimidos.

Un atacante remoto no autenticado podría diseñar y enviar este tipo de paquetes, con fines malintencionados, a un servidor SMBv3 vulnerable y ejecutar código dentro del contexto de una aplicación concreta, siempre y cuando existan conexiones activas desde máquinas cliente a dicho servidor bajo SMBv3. Este tipo de vulnerabilidad provoca que los sistemas estén expuestos a ataques "wormables", por lo que las infecciones entre máquinas cliente puede ser muy rápida y con muy poca complejidad.

Cabe recordar que SMB de Microsoft también es el protocolo de comunicación utilizado por las variantes de ransomware WannaCry y NotPetya que durante el pasado año 2017 tuvieron un impacto severo a nivel mundial. En este caso el fallo afecta únicamente a la última versión de este protocolo (SMBv3) que sólo está presente de forma predeterminada en las versiones más modernas del sistema operativo Windows. Hasta la fecha, no se han detectado pruebas de concepto o exploits para esta vulnerabilidad y tampoco se tiene conocimiento de evidencias sobre su explotación activa en la red.

Recursos afectados:

• Windows 10 Version 1903 for 32-bit Systems
• Windows 10 Version 1903 for x64-based Systems
• Windows 10 Version 1903 for ARM64-based Systems
• Windows Server, version 1903 (Server Core installation)
• Windows 10 Version 1909 for 32-bit Systems
• Windows 10 Version 1909 for x64-based Systems
• Windows 10 Version 1909 for ARM64-based Systems
• Windows Server, version 1909 (Server Core installation)

Solución a la vulnerabilidad:

Al margen de la actualización o parche publicado por Microsoft, existen medidas de mitigación para reducir el riesgo ante un posible ataque que aproveche esta vulnerabilidad. En primer lugar se debe restringir el acceso a la red al puerto 445 TCP en máquinas cliente y, a nivel de servidor, deshabilitar la compresión en el protocolo SMBv3.

Para llevar a cabo la deshabilitación de la compresión se recomienda seguir los siguientes pasos publicados tanto por Microsoft como por investigadores de seguridad ajenos a Microsoft:

Microsoft:

• Ejecutar en powershell:
  • Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Otras investigaciones:

1. Ir a HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LanManWorkstation \ Parameters
2. Crear un valor DWORD llamado "CompressionEnabled".
3. Establecer su valor en 0.

Es importante señalar que la deshabilitación de la compresión de SMBv3 en servidores no soluciona la vulnerabilidad en máquinas cliente.

Adicionalmente, se han hecho públicas diferentes herramientas para testear y localizar servidores vulnerables:

Bash script para Nmap:

https://gist.githubusercontent.com/nikallass/40f3215e6294e94cde78ca60dbe07394/raw/84d803de937f5b6810df4441cc84f0fa63991e2e/check-smb-v3.11.sh

Python scanner:

https://github.com/ollypwn/SMBGhost

Version para powershell:

https://gist.githubusercontent.com/sysgoblin/c414ad12a8ba144c4fc7f5f439bb2e59/raw/f239f659040ae972026eea3a5a704197f2cdeb46/SMB3LanScan.ps1

Regla Yara:

https://gist.githubusercontent.com/LloydLabs/5e9afdaa172be0c5ac516fe399e6a14e/raw/e44a70e9c681b9be45a276d94c3936e7fd0e8b09/smbghost.yara

Recomendaciones:

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

En este caso es muy recomendable realizar todos los escaneos posibles con el fin de detectar posibles servidores vulnerables y poder aplicar cuanto antes las medidas de mitigación descritas.

Referencias:

• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
• https://fortiguard.com/encyclopedia/ips/48773

Vulnerabilidad en SMBv3 de Microsoft

Fecha de publicación: 12/03/2020

Nivel de criticidad: CRÍTICA

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación una vulnerabilidad en el protocolo de comunicación SMBv3 de Microsoft.

CVE-2020-0796: Vulnerabilidad localizada en el protocolo Microsoft Server Message Block 3.1.1 (SMBv3) de la que por el momento no se conocen los detalles técnicos concretos de la misma. Según diferentes investigaciones, se trata de un desbordamiento de memoria debido a un error en el manejo de paquetes de datos comprimidos.

Un atacante remoto no autenticado podría diseñar y enviar este tipo de paquetes, con fines malintencionados, a un servidor SMBv3 vulnerable y ejecutar código dentro del contexto de una aplicación concreta, siempre y cuando existan conexiones activas desde máquinas cliente a dicho servidor bajo SMBv3. Este tipo de vulnerabilidad provoca que los sistemas estén expuestos a ataques "wormables", por lo que las infecciones entre máquinas cliente puede ser muy rápida y con muy poca complejidad.

Cabe recordar que SMB de Microsoft también es el protocolo de comunicación utilizado por las variantes de ransomware WannaCry y NotPetya que durante el pasado año 2017 tuvieron un impacto severo a nivel mundial. En este caso el fallo afecta únicamente a la última versión de este protocolo (SMBv3) que sólo está presente de forma predeterminada en las versiones más modernas del sistema operativo Windows. Hasta la fecha, no se han detectado pruebas de concepto o exploits para esta vulnerabilidad y tampoco se tiene conocimiento de evidencias sobre su explotación activa en la red.

El CCN-CERT recomienda encarecidamente seguir todas las actualizaciones de Microsoft en el siguiente enlace:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005

Recursos afectados:

• Windows 10 Version 1903 for 32-bit Systems
• Windows 10 Version 1903 for x64-based Systems
• Windows 10 Version 1903 for ARM64-based Systems
• Windows Server, version 1903 (Server Core installation)
• Windows 10 Version 1909 for 32-bit Systems
• Windows 10 Version 1909 for x64-based Systems
• Windows 10 Version 1909 for ARM64-based Systems
• Windows Server, version 1909 (Server Core installation)

Solución a la vulnerabilidad:

Microsoft ha retirado el CVE-2020-0796 de su boletín de seguridad de este mes de marzo ya que por el momento no han publicado ningún tipo de actualización oficial o parche para solucionar el problema. Aún así, Microsoft reconoce el fallo y ha hecho público un aviso indicando que "actualizarán su aviso cuando haya actualizaciones disponibles".

Al margen de las próximas actualizaciones o parches que pueda publicar Microsoft, existen medidas de mitigación para reducir el riesgo ante un posible ataque que aproveche esta vulnerabilidad. En primer lugar se debe restringir el acceso a la red al puerto 445 TCP en máquinas cliente y, a nivel de servidor, deshabilitar la compresión en el protocolo SMBv3.

Para llevar a cabo la deshabilitación de la compresión se recomienda seguir los siguientes pasos publicados tanto por Microsoft como por investigadores de seguridad ajenos a Microsoft:

Microsoft:

• Ejecutar en powershell:
  • Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Otras investigaciones:

1. Ir a HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LanManWorkstation \ Parameters
2. Crear un valor DWORD llamado "CompressionEnabled".
3. Establecer su valor en 0.

Es importante señalar que la deshabilitación de la compresión de SMBv3 en servidores no soluciona la vulnerabilidad en máquinas cliente.

Adicionalmente, se han hecho públicas diferentes herramientas para testear y localizar servidores vulnerables:

Bash script para Nmap:

https://gist.githubusercontent.com/nikallass/40f3215e6294e94cde78ca60dbe07394/raw/84d803de937f5b6810df4441cc84f0fa63991e2e/check-smb-v3.11.sh

Python scanner:

https://github.com/ollypwn/SMBGhost

Version para powershell:

https://gist.githubusercontent.com/sysgoblin/c414ad12a8ba144c4fc7f5f439bb2e59/raw/f239f659040ae972026eea3a5a704197f2cdeb46/SMB3LanScan.ps1

Regla Yara:

https://gist.githubusercontent.com/LloydLabs/5e9afdaa172be0c5ac516fe399e6a14e/raw/e44a70e9c681b9be45a276d94c3936e7fd0e8b09/smbghost.yara

Recomendaciones:

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

En este caso es muy recomendable realizar todos los escaneos posibles con el fin de detectar posibles servidores vulnerables y poder aplicar cuanto antes las medidas de mitigación descritas.

Referencias:

• https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005
• https://fortiguard.com/encyclopedia/ips/48773