{"id":1918,"date":"2020-03-12T09:03:03","date_gmt":"2020-03-12T14:03:03","guid":{"rendered":"https:\/\/cert.pa\/?p=1918"},"modified":"2020-03-12T09:03:03","modified_gmt":"2020-03-12T14:03:03","slug":"csirt-panama-aviso-2020-03-12-coronablue-o-smbghost","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=1918","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2020-03-12 CoronaBlue o SMBGhost"},"content":{"rendered":"\n<p>\n\nEste segundo martes de mes&nbsp;<a href=\"https:\/\/www.securityweek.com\/microsoft-patches-115-vulnerabilities-windows-other-products\" target=\"_blank\" rel=\"noreferrer noopener\">Microsoft ha corregido 117 vulnerabilidades<\/a>,&nbsp;<a href=\"https:\/\/www.zdnet.com\/article\/details-about-new-smb-wormable-bug-leak-in-microsoft-patch-tuesday-snafu\/\" target=\"_blank\" rel=\"noreferrer noopener\">25 de ellas cr\u00edticas<\/a>, una cantidad solo superada por el martes de marzo de 2017 (139). Ninguna de las vulnerabilidades ha sido filtrada o se le conoce exploit con anterioridad. La mayor\u00eda de fallos cr\u00edticos se encuentran en los motores de&nbsp;<em>scripting<\/em>, VBScript y Chakra.<\/p>\n\n\n\n<p>Pero lo m\u00e1s curioso es el fallo que solo ha sido visible durante un tiempo (SMBGhost, lo llaman),&nbsp;<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2020-0796\" target=\"_blank\" rel=\"noreferrer noopener\">CVE-2020-0796<\/a>&nbsp;en SMBv3. Un peque\u00f1o misterio que no trae buenos recuerdos a la comunidad. Por varias razones:<br><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Este CVE hab\u00eda sido reportado por&nbsp;<a href=\"https:\/\/cc.bingj.com\/cache.aspx?q=https%3a%2f%2fblog.talosintelligence.com%2f2020%2f03%2fmicrosoft-patch-tuesday-march-2020.html&amp;d=903924094838&amp;mkt=nl-NL&amp;setlang=en-US&amp;w=NiMjTGn60sPMCOMEBw-cKyRUwi9s1qXv\" target=\"_blank\" rel=\"noreferrer noopener\">Talos<\/a>&nbsp;y&nbsp;<a href=\"https:\/\/fortiguard.com\/encyclopedia\/ips\/48773\" target=\"_blank\" rel=\"noreferrer noopener\">Fortinet<\/a>, no por Microsoft, durante un breve periodo de tiempo. Parece que ten\u00edan acceso a informaci\u00f3n privilegiada y Microsoft ha decidido, en el \u00faltimo minuto, no publicar el parche para este fallo, por lo que estas empresas han retirado el anuncio.<\/li><li>Se trata de un problema de ejecuci\u00f3n de c\u00f3digo gusanable en SMBv3, similar a la explotada por WannaCry pero en otras versiones del protocolo solo presentes en las versiones 1909 y 1903 de Windows 10.<\/li><li><strong>Microsoft s\u00ed ha publicado un&nbsp;<em>&#8220;advisory&#8221;<\/em>&nbsp;(pero no un parche)<\/strong>&nbsp;sobre c\u00f3mo deshabilitar la compresi\u00f3n de SMBv3. Esto refuerza la idea de que ten\u00eda un parche listo que ha retirado en el \u00faltimo momento.<\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">SMBGhost<\/h3>\n\n\n\n<p><a href=\"https:\/\/blog.segu-info.com.ar\/search\/?q=WannaCry\" target=\"_blank\" rel=\"noreferrer noopener\">WannaCry<\/a>&nbsp;explotaba un fallo bastante similar en la versi\u00f3n SMBv1. Este problema en la 3 (3.1.1 para ser exactos), del que ahora todos hablan pero al parecer ni existe oficialmente, est\u00e1 en el componente de compresi\u00f3n de SMBv3, algo relativamente reciente.<\/p>\n\n\n\n<p>Seg\u00fan Microsoft, la vulnerabilidad est\u00e1 relacionada con la forma en que SMB 3.1.1 maneja ciertas solicitudes y puede ser explotada por un atacante no autenticado para ejecutar c\u00f3digo arbitrario en servidores y clientes SMB. La capacidad de compresi\u00f3n en SMB se introdujo a finales de 2019 con la versi\u00f3n 3.1.1 del protocolo (un &#8220;dialecto&#8221; del 3, le dicen) y el flag&nbsp;<em>SMB3_compression_capabilities<\/em>. La versi\u00f3n 2 ya la ten\u00eda, y aceleraba la compartici\u00f3n por red de los datos.<\/p>\n\n\n\n<p>En los ataques dirigidos a servidores SMB, el atacante debe enviar paquetes especialmente dise\u00f1ados al sistema de destino. En el caso de ataques de clientes, el atacante necesita convencer al usuario objetivo para que se conecte a un servidor SMBv3 malicioso.<\/p>\n\n\n\n<p>Algunos han denominado la vulnerabilidad CoronaBlue, mientras que otros la llaman&nbsp;<a href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/1237480108568477697\" target=\"_blank\" rel=\"noreferrer noopener\">SMBGhost<\/a>. Microsoft&nbsp;<a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/ADV200005\" target=\"_blank\" rel=\"noreferrer noopener\">public\u00f3 un aviso para esta vulnerabilidad<\/a>, que rastrea como CVE-2020-0796, cuando anunci\u00f3 las actualizaciones de Patch Tuesday para marzo.<\/p>\n\n\n\n<p>Para deshabilitar la compresi\u00f3n en servidores SMBv3, se puede utilizar este comando de PowerShell (no se requiere reiniciar, no evita la explotaci\u00f3n de clientes SMB):<br><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>Set-ItemProperty -Path \"HKLM: \\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters\" DisableCompression -Type DWORD -Value 1 -Force<\/code><\/pre>\n\n\n\n<p><strong>Microsoft ha\u00a0<a rel=\"noreferrer noopener\" href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/ADV200005\" target=\"_blank\">publicado un aviso que recomienda<\/a>\u00a0que los usuarios deshabiliten la compresi\u00f3n SMBv3 hasta que puedan parchear.<\/strong>\u00a0Los usuarios tambi\u00e9n pueden mitigar el riesgo\u00a0<a rel=\"noreferrer noopener\" href=\"https:\/\/support.microsoft.com\/en-us\/help\/3185535\/guidelines-for-blocking-specific-firewall-ports-to-prevent-smb-traffic\" target=\"_blank\">bloqueando el puerto TCP 445 en los firewall perimetrales<\/a>, pero esto a\u00fan permitir\u00eda lanzar ataques desde dentro de la red. Los usuarios tambi\u00e9n pueden seguir las pautas de Microsoft para evitar que el tr\u00e1fico SMB salga de la red corporativa.<\/p>\n\n\n\n<p>Fuente:  <br><a href=\"https:\/\/blog.segu-info.com.ar\/2020\/03\/coronablue-o-smbghost-vulnerabilidad.html\">https:\/\/blog.segu-info.com.ar\/2020\/03\/coronablue-o-smbghost-vulnerabilidad.html<\/a> <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Este segundo martes de mes&nbsp;Microsoft ha corregido 117 vulnerabilidades,&nbsp;25 de ellas cr\u00edticas, una cantidad solo superada por el martes de marzo de 2017 (139). Ninguna de las vulnerabilidades ha sido filtrada o se le conoce&#8230;<\/p>\n","protected":false},"author":5,"featured_media":414,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[118,119,45],"class_list":["post-1918","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-smb","tag-smb-server","tag-windows"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1918","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1918"}],"version-history":[{"count":5,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1918\/revisions"}],"predecessor-version":[{"id":1923,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1918\/revisions\/1923"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/414"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1918"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1918"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1918"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}