Microsoft revela accidentalmente la presencia de exploits en el protocolo SMB V3 en servidores de Windows 10 en su infodump Patch Tuesday. Por el momento no ha lanzado ningún parche por este defecto, dejando vulnerables todas las instalaciones recientes.
Nuevos exploits en SMB Windows
Los PC afectados por esta vulnerabilidad CVE-2020-0796 incluyen versiones de Windows 10 v1903, Windows 10 v 1909, Windows Server v1903 y Windows Server v1909.
Se sospecha que Microsoft planeaba lanzar un parche este martes, pero lo retiró en el último momento. Aún así incluía los detalles del fallo en la API de Microsoft que algunos proveedores de antivirus eliminan y publican posteriormente. Esta API está actualmente inactiva, y proveedores como Cisco Talos que publicaron detalles, han eliminado sus informes.
SMB es el mismo protocolo que el explotado por el ransomware WannaCry y NotPetya, pero afortunadamente en esta ocasión, no se ha lanzado ningún código malicioso.
Por el momento no se han publicado todos los detalles de este fallo, pero se entiende que es un desbordamiento del búfer en el servidor SMB de Microsoft. «Esto ocurre debido a un error cuando el software vulnerable maneja un paquete de datos comprimido creado con fines maliciosos.» La compañía de seguridad Fortinet señala que «un atacante remoto no autenticado puede explotar esto para ejecutar código arbitrario dentro del contexto de la aplicación.«
Cisco talos da un consejo. «Se alienta a los usuarios a deshabilitar la compresión SMBv3 y bloquear el puerto TCP 445 en firewalls y ordenadores cliente.»