CSIRT Panamá Aviso 2020-03-12 CoronaBlue o SMBGhost

Este segundo martes de mes Microsoft ha corregido 117 vulnerabilidades25 de ellas críticas, una cantidad solo superada por el martes de marzo de 2017 (139). Ninguna de las vulnerabilidades ha sido filtrada o se le conoce exploit con anterioridad. La mayoría de fallos críticos se encuentran en los motores de scripting, VBScript y Chakra.

Pero lo más curioso es el fallo que solo ha sido visible durante un tiempo (SMBGhost, lo llaman), CVE-2020-0796 en SMBv3. Un pequeño misterio que no trae buenos recuerdos a la comunidad. Por varias razones:

  • Este CVE había sido reportado por Talos y Fortinet, no por Microsoft, durante un breve periodo de tiempo. Parece que tenían acceso a información privilegiada y Microsoft ha decidido, en el último minuto, no publicar el parche para este fallo, por lo que estas empresas han retirado el anuncio.
  • Se trata de un problema de ejecución de código gusanable en SMBv3, similar a la explotada por WannaCry pero en otras versiones del protocolo solo presentes en las versiones 1909 y 1903 de Windows 10.
  • Microsoft sí ha publicado un “advisory” (pero no un parche) sobre cómo deshabilitar la compresión de SMBv3. Esto refuerza la idea de que tenía un parche listo que ha retirado en el último momento.

SMBGhost

WannaCry explotaba un fallo bastante similar en la versión SMBv1. Este problema en la 3 (3.1.1 para ser exactos), del que ahora todos hablan pero al parecer ni existe oficialmente, está en el componente de compresión de SMBv3, algo relativamente reciente.

Según Microsoft, la vulnerabilidad está relacionada con la forma en que SMB 3.1.1 maneja ciertas solicitudes y puede ser explotada por un atacante no autenticado para ejecutar código arbitrario en servidores y clientes SMB. La capacidad de compresión en SMB se introdujo a finales de 2019 con la versión 3.1.1 del protocolo (un “dialecto” del 3, le dicen) y el flag SMB3_compression_capabilities. La versión 2 ya la tenía, y aceleraba la compartición por red de los datos.

En los ataques dirigidos a servidores SMB, el atacante debe enviar paquetes especialmente diseñados al sistema de destino. En el caso de ataques de clientes, el atacante necesita convencer al usuario objetivo para que se conecte a un servidor SMBv3 malicioso.

Algunos han denominado la vulnerabilidad CoronaBlue, mientras que otros la llaman SMBGhost. Microsoft publicó un aviso para esta vulnerabilidad, que rastrea como CVE-2020-0796, cuando anunció las actualizaciones de Patch Tuesday para marzo.

Para deshabilitar la compresión en servidores SMBv3, se puede utilizar este comando de PowerShell (no se requiere reiniciar, no evita la explotación de clientes SMB):

Set-ItemProperty -Path "HKLM: \SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Microsoft ha publicado un aviso que recomienda que los usuarios deshabiliten la compresión SMBv3 hasta que puedan parchear. Los usuarios también pueden mitigar el riesgo bloqueando el puerto TCP 445 en los firewall perimetrales, pero esto aún permitiría lanzar ataques desde dentro de la red. Los usuarios también pueden seguir las pautas de Microsoft para evitar que el tráfico SMB salga de la red corporativa.

Fuente:
https://blog.segu-info.com.ar/2020/03/coronablue-o-smbghost-vulnerabilidad.html