¿Seguro qué el único problema era SMB v1?
Hoy en día, a pesar de la existencia de un parche de seguridad, todavía muchas empresas sufren los efectos de las vulnerabilidades asociadas con el protocolo SMB v1, específicamente EternalBlue, con lo cual han optado por cambiar a otras versiones del protocolo, como SMB v3. Esto ha sucedido ya sea porque se empleaba esa vieja versión o porque Windows 10 versión 1903 se ha sumado a esta vulnerabilidad. Pero ¿te has puesto a pensar que pasa con esta versión?
El 2020 trajo consigo un par de nuevas vulnerabilidades asociadas a esta versión del protocolo SMBv3.1.1: SMBleed (CVE-2020-1206) y SMBGhost(CVE-2020-0796), esta última también denominada CoronaBlue. Por alguna razón el nombre suena familiar, ¿no? En efecto, es una nueva forma de ejecución de código remoto y dada su capacidad para replicarse en recursos compartidos de red, esta vulnerabilidad tiene todas las características para ser aprovechada por un ransomware, tal y como lo hace WannaCry con EternalBlue.
Las malas noticias no terminan aquí. Ya existe un exploit público, con pruebas de concepto de cómo aprovechar esta vulnerabilidad y, por si fuera poco, su explotación puede ser combinada con SMBleed que permite filtrar la memoria del kernel de forma remota. ¿Ya te preguntaste si tus sistemas Windows se encuentran protegidos, o si tu equipo de respuesta a incidentes está preparado para atender los incidentes relacionados a estas vulnerabilidades?
Como sabemos, Microsoft lo solucionó. Pero necesitaremos asumir que se verifica si hay arreglos para el buen funcionamiento de los recursos que usa SMB, de manera que pequeñas alteraciones no permitan explotar las vulnerabilidades de otra forma, o que incluso puedan existir fallos aún no conocidos.
No todas son malas noticias, afortunadamente existe un workaround para su mitigación y Microsoft ha lanzado parches para este par de fallos en sus actualizaciones mensuales posteriores a su publicación. Se pueden observar otras previsiones complementarias como bloquear el puerto TCP/445 para evitar movimientos laterales para equipos que no hagan uso de él, reforzar el aislamiento de los equipos críticos, y deshabilitar la compresión en SMB v3.1.1. Aunque esto no es lo más recomendado, podría ser útil en casos específicos. Y, dicho sea de paso, para esta medida no es necesario realizar el reinicio del equipo. Así qué: ¡Vamos! ¿Qué estás esperando? Aún es momento de actualizar si todavía no lo has hecho.
Referencias:
https://blog.zecops.com/research/vulnerability-reproduction-cve-2020-0796-poc/
https://blog.zecops.com/research/smbleedingghost-writeup-chaining-smbleed-cve-2020-1206-with-smbghost/
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-0796
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1206
https://blog.zecops.com/research/vulnerability-reproduction-cve-2020-0796-poc/
https://blog.zecops.com/research/smbleedingghost-writeup-chaining-smbleed-cve-2020-1206-with-smbghost/
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-0796
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1206