Más de 100,000 equipos Windows siguen siendo vulnerables a la explotación de SMBGhost

Hace unos meses, Microsoft publicó un paquete que corrige una vulnerabilidad en el protocolo SMBv3 denominada SMBGhost (CVE-2020-0796). Esta vulnerabilidad permite a un atacante ejecutar código remoto, permitiendo la propagación de código malicioso sin necesidad de la interacción del usuario, tal como lo hacen los ransomware WannaCry o NotPetya. Los objetivos potenciales de los atacantes son sistemas con grandes volúmenes de archivos. Cualquier ataque de este tipo puede interrumpir fácilmente los procesos de negocio y generar tiempo de indisponibilidad. Este fallo de seguridad afecta principalmente a los sistemas expuestos a internet, con sistemas operativos Windows 10 y Windows Server (versiones 1903 y 1909).

De acuerdo con los hallazgos de Jan Kopriva revelados en los foros de SANS ISC InfoSec, no todo el mundo está convencido de la necesidad de aplicar los parches correspondientes en sus máquinas de inmediato. Kopriva resaltó no estar seguro del método que utiliza Shodan para determinar si un equipo es vulnerable a SMBGhost, pero determinó que su mecanismo es preciso para detectar si el puerto 445 está abierto, por lo que el resultado de su prueba de concepto realizada a equipos que son accesibles desde internet es de más de 103,000 máquinas vulnerables.

La vulnerabilidad SMBGhost (CVE-2020-0796) recibió la categoría de crítica y obtuvo un puntaje de 10 en la escala del Common Vulnerability Scoring System (CVSS). Tras descubrir la vulnerabilidad, se consideró tan grave que en lugar de integrarla en el paquete de actualizaciones que lanza Microsoft cada primer martes del mes, lanzó un parche de emergencia.

El protocolo SMBv3 es utilizado para la transmisión de datos entre ordenadores. Su uso común es para compartir archivos.

Referencias:
https://www.welivesecurity.com/2020/10/29/over-100000-machines-remain-vulnerable-smbghost-exploitation/
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
https://www.zdnet.com/article/microsoft-patches-smbv3-wormable-bug-that-leaked-earlier-this-week/