Actualización 15/03/2017: Ayer, Microsoft publicó el parche correspondiente para solucionar esta vulnerabilidad.
___________________________________________________
Pasados cuatro meses desde su primer aviso a Microsoft, el investigador Laurent Gaffie decidió publicar los detalles de un exploit 0-day que se aprovecha de una falla en un protocolo de intercambio de archivos en varias versiones de Windows, incluyendo la más reciente Windows 10.
La alerta publicada por el CERT de la Universidad Carnegie Mellon describe a la vulnerabilidad como un error de corrupción de memoria en el manejo del tráfico SMB (Server Message Block o Bloque de mensajes de servidor), que podría permitirle a un atacante remoto ejecutar un ataque de denegación de servicio, de modo que los servidores vulnerables colapsen. Y si bien esto es cierto, al igual que sucede con muchas otras pruebas de concepto, no es algo fácil de explotar a gran escala. De hecho, para lograrlo haría falta engañar a la víctima para que configure servidores vulnerables y así se mantenga la salida de archivos compartidos.
"Windows no puede controlar correctamente el tráfico de un servidor malicioso diseñado para enviar una respuesta que contiene demasiados bytes, siguiendo la estructura definida en la respuesta SMB2 TREE_CONNECT. Al conectarse a un servidor SMB malicioso, un sistema Windows vulnerable podría colapsar (BSOD o pantalla azul) en mrxsmb20.sys. Hemos confirmado el error en sistemas Windows 10 y Windows 8.1 completamente parcheados, así como en los equivalentes para servidor de estas plataformas, Windows Server 2016 y Windows Server 2012 R2", explica el CERT.
Quizá lo más preocupante del comunicado es que, de las formas en que se puede lograr que un sistema Windows se conecte a un host de SMB, algunas requieren poca o nula interacción del usuario.
Con una severidad de 7,8 en la escala CVSS, la falla debería ser corregida cuanto antes, ya que los 0-days suponen una grave amenaza a la seguridad de usuarios y empresas.
Laurent Gaffie le contó a Ars Technica que, tras su aviso en septiembre de 2016, Microsoft le había dicho que parchearía la vulnerabilidad en diciembre, pero luego decidió demorarlo hasta febrero, para incluirlo en otros arreglos programados para SMB.
En un email, el investigador escribió:
Decidí publicar este bug una semana antes de que se publique el parche, porque no es la primera vez que Microsoft ignora mis bugs. Estoy trabajando gratis con ellos (no me pagan de ninguna manera por eso) con el objetivo de ayudar a sus usuarios. Cuando ignoran un bug como este, no ayudan a sus usuarios sino que hacen control de daño de marketing, y una publicación de parches oportunista.
Lo cierto es que las respuestas de Microsoft en relación a esta hallazgo fueron muy vagas y no dieron más detalles; por lo pronto, como medida preventiva, es posible bloquear las conexiones SMB salientes de la red local a WAN (puertos TCP 139 y 445 junto con los puertos UDP 137 y 138).
Si quieres conocer más sobre los exploits 0-day y cómo funcionan, no te pierdas este video:
