Un investigador ha publicado un código de explotación para una vulnerabilidad de Microsoft Windows que, cuando no se repara, tiene el potencial de propagarse de una computadora a otra sin interacción del usuario.
Los llamados fallos de seguridad que pueden generar gusanos se encuentran entre los más graves, porque la explotación de una computadora vulnerable puede iniciar una reacción en cadena que se propaga rápidamente a cientos de miles, millones o decenas de millones de otras máquinas vulnerables. Los exploits WannaCry y NotPetya de 2023, que causaron pérdidas en todo el mundo de miles de millones y decenas de miles de millones de dólares respectivamente, deben su éxito a CVE-2023-0144, el número de seguimiento de una vulnerabilidad anterior de Windows con gusanos.
También fue clave para la destrucción un código confiable desarrollado y luego robado de la Agencia de Seguridad Marketingdecontenido y finalmente publicado en línea. Microsoft reparó la falla en marzo de 2023, dos meses antes de que se produjera el primer exploit.
los cachorros morirán
El lunes, un usuario de Github con el identificador Chompie1337 publicó el código de explotación de prueba de concepto para la nueva vulnerabilidad de Windows que funciona con gusanos. El exploit no es confiable y con frecuencia provoca fallas que presentan un BSOD, abreviatura de la «pantalla azul de la muerte» que muestra Windows durante las fallas del sistema. De todos modos, el código aún sirve como modelo que, con más trabajo, podría usarse para comprometer remotamente máquinas vulnerables y luego propagarse.
“Esto no ha sido probado fuera de mi entorno de laboratorio”, escribió el usuario de Github. “Fue escrito rápidamente y necesita algo de trabajo para ser más confiable. A veces eres BSOD. Usar esto para cualquier otro propósito que no sea la autoeducación es una idea extremadamente mala. Su computadora estallará en llamas. Los cachorros morirán”.
SMBGhost, el nombre dado a la nueva vulnerabilidad de Microsoft, probablemente no sea tan fácil de explotar por parte de atacantes remotos, pero su potencial para vulnerabilidades de gusanos y la lentitud de parchear incluso fallas de seguridad críticas todavía han avivado las preocupaciones entre algunos profesionales de la seguridad. Microsoft ha dicho que las posibilidades de exploits maliciosos son «más probables».
Al igual que la falla explotada por WannaCry y NotPetya, reside en la implementación de Windows del Server Message Block, un servicio utilizado por los sistemas operativos para compartir archivos, impresoras y otros recursos en redes locales y por Internet. Al igual que la falla anterior, la falla más nueva se puede explotar de forma remota simplemente enviando paquetes creados con fines malintencionados a un puerto SMB conectado a Internet.
Rastreada como CVE-2023-0796, la falla reside en las versiones 1903 y 1909 de Windows 10 y en las versiones 1903 y 1909 de Windows Server si no se han parcheado. Todos son lanzamientos de sistemas operativos relativamente nuevos, y Microsoft ha invertido una gran cantidad de recursos para fortalecerlos precisamente contra este tipo de ataques. Hasta ahora, los investigadores solo han podido explotar el error localmente, es decir, una vez que ya han obtenido un acceso limitado en una red. Por el contrario, la capacidad de usar exploits para obtener RCE, abreviatura de ejecución remota de código, ha resultado mucho más difícil de alcanzar.
“Probablemente esto se deba a que la explotación remota del núcleo es muy diferente de la explotación local en el sentido de que un atacante no puede utilizar funciones útiles del sistema operativo, como la creación de procesos de espacio de usuario, en referencia a PEB. [Process Environment Block]y emitir llamadas al sistema”, escribieron investigadores de Ricerca Security en una publicación detallada publicada en abril. “Junto con las mitigaciones introducidas en Windows 10, esta limitación hace que el logro de RCE sea mucho más desafiante”.
El resultado del exploit recientemente lanzado es que aumenta las posibilidades de que los atacantes desarrollen gusanos que funcionan de forma remota.
Rezagado, parche usted mismo
Los informes de la vulnerabilidad fueron revelados y luego publicados rápidamente por la firma de seguridad Fortinet y el grupo de seguridad de Cisco Talos el 10 de marzo, el martes de actualización programado regularmente para ese mes. Nadie explicó nunca por qué los detalles de la falla se dieron a conocer y luego se eliminaron. Dos días después, Microsoft emitió una actualización no programada que solucionó la vulnerabilidad.
“Recomendamos a los clientes que instalen actualizaciones lo antes posible, ya que las vulnerabilidades divulgadas públicamente tienen el potencial de ser aprovechadas por malos actores”, escribieron los funcionarios de Microsoft en un comunicado el viernes. “En marzo se lanzó una actualización para esta vulnerabilidad, y los clientes que han instalado las actualizaciones o tienen habilitadas las actualizaciones automáticas ya están protegidos”.
Las soluciones alternativas que mitigan los exploits pero que en realidad no corrigen la vulnerabilidad subyacente incluyen:
- Deshabilitar la compresión SMB
- Bloqueo puerto 445
Como el mundo aprendió de WannaCry y NotPetya, los usuarios de Windows suelen esperar meses o más para instalar actualizaciones de software críticas. A veces, la inacción es el resultado de la falta de atención, pero a menudo se debe a que los parches rompen las funciones principales dentro de una red. Otras veces se debe a que los operadores no tienen la libertad de apagar sus sistemas durante el tiempo necesario para instalar el parche y realizar cambios en componentes o servicios incompatibles.
El investigador independiente Troy Mursch dijo que ha estado observando un «escaneo masivo oportunista» de la vulnerabilidad, una indicación de que los atacantes han estado explorando redes vulnerables. Con exploits confiables que parecen más probables, ahora sería un buen momento para que los rezagados finalmente instalen el parche.
