El martes se filtró la noticia de una nueva vulnerabilidad en las versiones recientes de Windows que tiene el potencial de desatar el tipo de ataques autorreplicantes que permitieron a los gusanos WannaCry y NotPetya paralizar las redes empresariales en todo el mundo.
La vulnerabilidad existe en la versión 3.1.1 del Bloque de mensajes del servidor, el servicio que se usa para compartir archivos, impresoras y otros recursos en redes locales ya través de Internet. Los atacantes que explotan con éxito la falla pueden ejecutar el código de su elección tanto en los servidores como en las computadoras de los usuarios finales que usan el protocolo vulnerable, dijo Microsoft en este aviso básico.
La falla, que se rastrea como CVE-2023-0796, afecta a Windows 10, versiones 1903 y 1909 y Windows Server versiones 1903 y 1909, que son versiones relativamente nuevas en las que Microsoft ha invertido grandes cantidades de recursos para protegerse precisamente contra este tipo de ataques. Los parches no están disponibles, y el aviso del martes no dio una fecha límite para el lanzamiento de uno. Cuando se le preguntó si había un cronograma para lanzar una solución, un representante de Microsoft dijo: «Más allá del aviso que vinculó, nada más para compartir de Microsoft en este momento».
Mientras tanto, Microsoft dijo que los servidores vulnerables pueden protegerse al deshabilitar la compresión para evitar que los atacantes no autenticados exploten la vulnerabilidad contra un servidor SMBv3. Los usuarios pueden usar el siguiente comando de PowerShell para desactivar la compresión sin necesidad de reiniciar la máquina:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Esa solución no protegerá a las computadoras o servidores de los clientes vulnerables si se conectan a un servicio SMB malicioso, pero en ese escenario, los ataques no son compatibles con gusanos. Microsoft también recomendó a los usuarios bloquear el puerto 445, que se usa para enviar tráfico SMB entre máquinas.
Ahora lo ves, ahora no
Un aviso publicado, y luego eliminado, por la firma de seguridad Fortinet describió la vulnerabilidad como «MS.SMB.Server.Compression.Transform.Header.Memory.Corruption». El aviso extraído decía que la falla es el resultado de un desbordamiento de búfer en servidores SMB de Microsoft vulnerables.
“La vulnerabilidad se debe a un error cuando el software vulnerable maneja un paquete de datos comprimidos creado con fines malintencionados”, escribieron los investigadores de Fortinet. “Un atacante remoto no autenticado puede explotar esto para ejecutar código arbitrario dentro del contexto de la aplicación”.
El equipo de seguridad de Talos de Cisco también publicó, y luego sacó, su propio aviso. Llamó a la vulnerabilidad «gusano», lo que significa que un solo exploit podría desencadenar una reacción en cadena que permite que los ataques se propaguen de una máquina vulnerable a otra máquina vulnerable sin requerir ninguna interacción de los administradores o usuarios.
“Un atacante podría explotar este error enviando un paquete especialmente diseñado al servidor SMBv3 de destino, al que la víctima debe estar conectada”, decía la publicación eliminada de Talos. “Se alienta a los usuarios a deshabilitar la compresión SMBv3 y bloquear el puerto TCP 445 en los firewalls y las computadoras cliente. La explotación de esta vulnerabilidad abre los sistemas a un ataque ‘gusano’, lo que significa que sería fácil pasar de una víctima a otra”.
La implementación de SMBv3 de Microsoft introduce una variedad de medidas diseñadas para hacer que el protocolo sea más seguro en las computadoras con Windows. La actualización se hizo más utilizada después de que WannaCry y NotPetya usaran un exploit desarrollado por la agencia de Seguridad Marketingdecontenido y luego robado. Conocido como EternalBlue, el ataque aprovechó SMBv1 para obtener la ejecución remota de código y pasar de una máquina a otra. Microsoft ha fortalecido de manera similar Windows 10 y Server 2023 para resistir mejor las vulnerabilidades, especialmente aquellas que de otro modo podrían ser detectadas por gusanos.
No está claro por qué Microsoft publicó los escasos detalles o por qué tanto Fortinet como Talos publicaron y luego retiraron sus avisos. El evento se produjo en Update Tuesday, que ocurre el segundo martes de cada mes, cuando Microsoft lanza una serie de parches para corregir varias vulnerabilidades de seguridad.
Evaluación de riesgos
Si bien CVE-2023-0796 es potencialmente grave, no todos dijeron que representa el tipo de amenaza montada por la falla SMBv1 que fue explotada por WannaCry y NotPetya. Esos gusanos fueron alimentados por el lanzamiento público de EternalBlue, un exploit que era tan confiable que convirtió la explotación en un ejercicio de copiar y pegar. Otra contribución importante al éxito de los gusanos fue la casi omnipresencia de SMBv1 en ese momento. SMBv3, por el contrario, se usa mucho menos.
SMB también está protegido por la aleatorización del diseño del espacio de direcciones del kernel, una protección que aleatoriza las ubicaciones de la memoria donde se carga el código del atacante en caso de que se explote con éxito una vulnerabilidad. La protección requiere que los atacantes diseñen dos exploits altamente confiables, uno que abusa de un desbordamiento de búfer u otra vulnerabilidad de ejecución de código y otro que revela las ubicaciones de memoria de la carga útil maliciosa. La protección requería que Buckeye, un grupo de piratas informáticos avanzados que explotó la falla SMBv1 14 meses antes de la misteriosa filtración de EternalBlue, también usara una falla de divulgación de información separada.
Jake Williams, ex hacker de la NSA y fundador de la firma de seguridad Rendition Security, dijo en un hilo de Twitter que ambos factores probablemente ganarían tiempo en redes vulnerables.
“El TL; DR aquí es que esto ES serio, pero no es WannaCry 2.0”, escribió. “Menos sistemas se ven afectados y no hay un código de explotación fácilmente disponible. No estoy entusiasmado con otra vulnerabilidad SMB, pero todos sabíamos que vendría (y no será la última). Sin embargo, la histeria es injustificada”.
5. Incluso con el código de activación, aún debe omitir KASLR de forma remota (no es una tarea fácil). Si necesita pruebas, mire BUCKEYE. Tenían el disparador EternalBlue, pero tenían que encadenarlo con otra vulnerabilidad de divulgación de información para lograr la ejecución del código. Esto no es fácil. 3/
—Jake Williams (@MalwareJake) 10 de marzo de 2023
También vale la pena recordar que BlueKeep, el nombre de otra vulnerabilidad de gusanos que Microsoft parchó en mayo pasado, aún no se ha explotado ampliamente, si es que se ha explotado, a pesar de las terribles advertencias de que representaba un grave riesgo para las redes de todo el mundo.
La causa de que se publicaran los avisos y luego se retiraran provocó una buena cantidad de especulaciones en Twitter. Microsoft suele proporcionar detalles sobre los parches que se publicarán próximamente con los fabricantes de productos antivirus y sistemas de prevención de intrusiones. Es posible que Microsoft retrasó el lanzamiento del parche SMBv3 en el último minuto y estos socios no se enteraron.
Cualquiera que sea la causa, el gato está fuera de la bolsa ahora. Los usuarios de Windows que tienen SMBv3 expuesto en Internet harían bien en prestar atención a los consejos de seguridad de Microsoft lo antes posible.
