Actualización: el 12 de marzo Microsoft lanzó un parche de manera extraordinaria que mitiga la vulnerabilidad (CVE-2020-0796). Para más información leer el artículo Microsoft lanza parche que repara vulnerabilidad en SMBv3.

En el día de ayer Microsoft lanzó el paquete de actualizaciones que mensualmente envía el segundo martes de cada mes. En esta oportunidad, reparó 117 vulnerabilidades, de las cuales 25 fueron catalogadas como críticas. Sin embargo, ese mismo día se filtró información, antes que Microsoft lo comunicara de manera oficial, sobre la existencia de una vulnerabilidad crítica (CVE-2020-0796) que puede ser aprovechada por un malware con características de gusano, que no fue parcheada en el último paquete de actualizaciones del día de ayer, y que afecta el protocolo de comunicación de red SMB 3.1.1.

La vulnerabilidad en este protocolo utilizado para compartir archivos, comunicarse con una impresora, así como con otros recursos conectados a una red local, generó revuelo porque, dada las características de gusano que presenta el fallo, un ataque que logre explotarlo podría comprometer fácilmente otros equipos sin necesidad de interacción por parte del usuario, tal como ocurrió con WannaCry o NotPetya. “En caso de ser explotada por un atacante podría ejecutar código tanto en el servidor SMB apuntado como en el cliente SMB”, explicó Microsoft en un comunicado que publicó tarde en el día de ayer.

En este sentido, “para explotar la vulnerabilidad un atacante podría enviar paquetes especialmente diseñados al servidor SMBv3 apuntado, mientras que para explotarla en un cliente SMB el atacante debería comprometer un servidor SMBv3 y luego convencer a un usuario para que se conecte”, explicó la compañía.

Windows 10 (versión 1903 y 1909) y Windows Server (versión 1903 y 1909) son los afectados por este fallo que de momento no tiene parche y tampoco fecha de lanzamiento.

Cabe destacar que este fallo está ubicado específicamente en el componente de compresión de SMBv3, por lo que la recomendación para estar protegido, al menos hasta que se publique el parche correspondiente, es deshabilitar la compresión para bloquear que un atacante sin autenticación explote la vulnerabilidad en servidores SMBv3. Para eso, Microsoft publicó el siguiente comando de PowerShell con el cual no hay necesidad de reiniciar el equipo:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

 

Según explicó la compañía, esta medida no protegerá a los clientes vulnerables, por lo que también recomienda bloquear el puerto 445, ya que es utilizado para enviar tráfico SMB entre equipos. Aunque esto seguramente tendrá consecuencias en el funcionamiento.