• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Vulnerabilidad crítica en SMB (CVE-2020-1206): SMBleed

Vulnerabilidad crítica en SMB (CVE-2020-1206): SMBleed

10 junio, 2020 Por Pablo López Bonilla Deja un comentario

Investigadores en ciberseguridad han descubierto una nueva vulnerabilidad crítica que afecta al protocolo SMB y que podría permitir a los atacantes exponer la memoria del kernel de forma remota. Esto, combinado con otra vulnerabilidad ya conocida (CVE-2020-0796, también conocida como «SMBGhost»), podría conducir a la ejecución remota de código.

Apodado «SMBleed» (CVE-2020-1206) por la empresa de seguridad cibernética ZecOps, el defecto reside en la función de descompresión de SMB. Se trata de la misma función que con el error SMBGhost o EternalDarkness (CVE-2020-0796), que salió a la luz hace tres meses, convierte a los sistemas de Windows en vulnerables a ataques de malware que pueden propagarse a través de redes.

La vulnerabilidad recién descubierta afecta las versiones de Windows 10 1903 y 1909, para las cuales Microsoft lanzó ya parches de seguridad como parte de sus actualizaciones mensuales del Patch Tuesday para junio.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió un aviso la semana pasada advirtiendo a los usuarios de Windows 10 para que actualizasen sus máquinas después de que el código de explotación para SMBGhost fuera publicado la semana pasada.

«Aunque Microsoft reveló y proporcionó actualizaciones para esta vulnerabilidad en marzo de 2020, los atacantes están apuntando a sistemas aún no parcheados, usando la prueba de concepto pública, según informes recientes de código abierto», declaró la CISA.

Según los investigadores de ZecOps, el fallo se debe al modo en que la función de descompresión («Srv2DecompressData«) maneja las solicitudes de mensajes especialmente diseñados (por ejemplo, SMB2 WRITE) enviados a un servidor SMBv3 específico, lo que permite a un atacante leer la memoria del kernel no inicializada y realizar modificaciones a la función de compresión.

La función Srv2DecompressData recibe el mensaje comprimido que envía el cliente, asigna la cantidad de memoria requerida y descomprime los datos. Luego, si el offset no es cero, copia los datos que se colocan antes de los datos comprimidos al comienzo del buffer asignado.

Si se configura el tamaño original del segmento comprimido, reflejado en la variable OriginalCompressedSegmentSize, para que ocupe más bytes, gracias a la ausencia de comprobaciones, se puede escribir fuera de los límites del buffer. Es decir, si tomamos como ejemplo que el tamaño de nuestros datos comprimidos fuera X después de la descompresión y configuramos OriginalCompressedSegmentSize para que sea X + 0x1000, obtendremos lo siguiente:

Los datos del kernel no inicializados se tratarán como parte de nuestro mensaje.

Se utiliza el mensaje SMB2 WRITE porque nos permite controlar las cabeceras del mensaje al tiempo que permite que el buffer pueda contener datos no inicializados.

Mitigación

Pueden remediarse los riesgos asociados a SMBleed y SMBGhost de la siguiente manera:

  • Actualización de Windows (recomendado)
  • El bloqueo del puerto 445 en aras de impedir los movimientos laterales usando estas vulnerabilidades
  • Aislamiento del host.
  • Deshabilitar la compresión SMB 3.1.1 (no es una solución recomendada)

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Hacking Windows

Arduino para Hackers

Publicado en: Vulnerabilidades Etiquetado como: CVE-2020-0796, CVE-2020-1206, smb, SMBGhost, SMBleed, vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • La estafa del “Servicio de Verificación DHL”

Entradas recientes

  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares
  • Microsoft Defender de Windows ya está disponible para Android e iOS
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...