Alerta de Seguridad No 3/20: Vulnerabilidad en el protocolo SMBv3 (CVE-2020-0796)

  • 22/08/2020
  • 201
Alerta de Seguridad No 3/20: Vulnerabilidad en el protocolo SMBv3 (CVE-2020-0796)

24 de abril de 2020

Año 62 de la Revolución

 

 

 

 

SMB es un protocolo de red para el acceso remoto a archivos, impresoras y otros recursos de red. Se utiliza para implementar las funciones Microsoft Windows Network y compartir archivos e impresoras.

La nueva vulnerabilidad CVE-2020-0796, publicada el 20 de marzo de 2020, afecta al protocolo Microsoft Server Message Block 3.1.1 (SMBv3). Según Microsoft, un atacante puede explotar esta vulnerabilidad para ejecutar código de forma arbitraria, tanto del lado del servidor como del cliente SMB. Esta vulnerabilidad se puede utilizar para lanzar un gusano similar a WannaCry, por lo que Microsoft la ha calificado como crítica. Debido a esto se indica su cierre inmediato.

 

SISTEMAS VULNERABLES

Microsoft Server Message Block 3.1.1 es un protocolo relativamente reciente, utilizado solo en los sistemas operativos:

  • Windows 10, versión 1903 para sistemas de 32 bits.
  • Windows 10, versión 1903 para sistemas basados en ARM64.
  • Windows 10, versión 1903 para sistemas basados en x64.
  • Windows 10, versión 1909 para sistemas de 32 bits.
  • Windows 10, versión 1909 para sistemas basados en ARM64.
  • Windows 10, versión 1909 para sistemas basados en x64.
  • Windows Server, versión 1903 (instalación de Server Core).
  • Windows Server, versión 1909 (instalación de Server Core).

La vulnerabilidad no afecta a Windows 7, 8, 8.1 o versiones anteriores.

 

SOLUCIONES DE SEGURIDAD

  • Mantener actualizado el sistema a través del servicio de Actualizaciones de Windows (WSUS)
  • Descargar e instalar la actualización de seguridad de Microsoft desde: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796
  • En clientes SMB bloquear el puerto TPC 445 en el cortafuegos perimetral de la empresa.
  • En servidores SMB bloquear la explotación de la vulnerabilidad con el comando PowerShell:

              Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force

 

Atentamente,

 

Equipo de Respuesta a Incidentes de Seguridad de Biocubafarma

Empresa de Tecnologías de la Información.