Aunque Microsoft lanzó en marzo un parche para la vulnerabilidad crítica SMBGhost en el protocolo Server Message Block (SMB), más de 100,000 máquinas siguen siendo susceptibles de ataques que exploten el fallo. Esta vulnerabilidad de ejecución remota de código (RCE) que puede ser aprovechada por un código malicioso con características de gusano, podría permitir que actores maliciosos propaguen malware entre los equipos sin necesidad de la interacción del usuario.
La gravedad del fallo que afecta a Windows 10 y Windows Server (versiones 1903 y 1909) debería haber convencido a todos de la necesidad de parchear sus máquinas de inmediato. Sin embargo, según Jan Kopriva, quien reveló sus hallazgos en los foros SANS ISC Infosec, ese no parece ser el caso.
“No estoy seguro de qué método utiliza Shodan para determinar si una determinada máquina es vulnerable a SMBGhost, pero si su mecanismo de detección es preciso, parecería que todavía hay más de 103.000 máquinas vulnerables que son accesibles desde Internet. Esto significaría que una computadora vulnerable se esconde detrás de aproximadamente el 8% de todas las IP que tienen el puerto 445 abierto”, dijo Kopriva.
La vulnerabilidad SMBGhost (CVE-2020-0796) fue categorizada como crítica y tiene un puntaje de 10 en la escala del Common Vulnerability Scoring System (CVSS). Tras su descubrimiento, la vulnerabilidad fue considerada tan grave que en lugar de repararla en el paquete de actualizaciones que lanza cada primer martes del mes (Patch Tuesday), Microsoft lanzó un parche de emergencia.
“Para aprovechar la vulnerabilidad contra un servidor, un atacante no autenticado podría enviar un paquete especialmente diseñado a un servidor SMBv3 apuntado. Para explotar la vulnerabilidad contra un cliente, un atacante no autenticado necesitaría configurar un servidor SMBv3 malicioso y convencer al usuario de que se conecte a él”, dijo Microsoft cuando lanzó el parche.
Eso fue en marzo, y pronto surgieron exploits disponibles públicamente, aunque solo lograron una escalada de privilegios locales. Sin embargo, tres meses después se lanzó la primera prueba de concepto (PoC) que logró la RCE, lo que provocó de inmediato una atención generalizada sobre SMBGhost. Incluso la Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) tomó nota y publicó una advertencia en junio de este año en la que indicaba que actores maliciosos estaban utilizando la PoC para explotar la vulnerabilidad y lanzar ataques a sistemas no parcheados.
Vale la pena señalar que SMBGhost puede ser utilizada en conjunto con otra vulnerabilidad que afecta al protocolo SMBv3. Por ejemplo, SMBleed, una vulnerabilidad parcheada en junio que según los investigadores de ZecOps, que fue quienes descubrieron este fallo, un cibercriminal que pueda combinar las dos vulnerabilidades podría lograr la ejecución remota de código previo a la autenticación.
Por lo tanto y a riesgo de lo obvio, los administradores y usuarios que aún no han parcheado sus sistemas deberían hacerlo más temprano que tarde.