
Microsoft finalmente lanzó una actualización de emergencia para parchear la vulnerabilidad recientemente revelada en el protocolo SMBv3 (SMBGhost) que podría permitir a los atacantes lanzar malware y que puede propagarse automáticamente de una computadora vulnerable a otra.
La última vulnerabilidad, para la cual una actualización de parche (KB4551762) ahora está disponible en el sitio web de Microsoft, existe en la forma en que el protocolo SMBv3 maneja las solicitudes con encabezados de compresión, lo que hace posible que los atacantes remotos no autenticados ejecuten código malicioso en servidores o clientes objetivo con privilegios SYSTEM.
Los encabezados de compresión son una característica que se agregó al protocolo afectado de los sistemas operativos Windows 10 y Windows Server en mayo de 2019, diseñado para comprimir el tamaño de los mensajes intercambiados entre un servidor y los clientes conectados a él.
Para explotar la vulnerabilidad contra un servidor, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 específico. Para explotar la vulnerabilidad contra un cliente, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer a un usuario para que se conecte, dijo Microsoft en el aviso.
Dado que ahora se puede descargar un parche para la falla SMBv3 que se puede eliminar para las versiones afectadas de Windows, es muy recomendable que los usuarios domésticos y las empresas instalen actualizaciones lo antes posible, en lugar de limitarse a confiar en la mitigación.
En los casos en que la actualización inmediata de parches no es aplicable, se recomienda al menos deshabilitar la función de compresión SMB y bloquear el puerto SMB para las conexiones entrantes y salientes para ayudar a prevenir la explotación remota.
Ya se ha dado a conocer una herramienta para realizar el escaneo con Nmap y un script en Python.
Fuente: THN
Visitas: 31