A mediados de 2017, el ataque del malware WannaCry paralizó sistemas informáticos de instituciones y grandes empresas de medio mundo. Un mes más tarde fue otro malware, NotPetya, el que desencadenó el caos. Ahora, una vulnerabilidad descubierta en las versiones más recientes de Windows podría desencadenar una nueva oleada de ciberataques autorreplicantes como los de hace 3 años.
Dicha vulnerabilidad, bautizada como CVE-2020-0796, afecta al protocolo SMBv3 (componente del sistema operativo usado para compartir archivos, impresoras, y otros recursos mediante Internet e intranet) en Windows 10 y Windows Server 2019. En ambos casos las 'builds' afectadas serían la 1903 y la 1909.
¿Cómo funciona CVE-2020-0796?
Cuando el software vulnerable recibe un paquete de datos comprimido creado con fines maliciosos, se provoca un desbordamiento de buffer que permite al atacante remoto ejecutar cualquier clase de código en el equipo atacado, ya sea éste un servidor o una estación de trabajo. Según algunos expertos, a nivel técnico esta nueva vulnerabilidad es similar a EternalBluE.
El problema es que por ahora Microsoft no cuenta con un parche disponible para solventar la CVE-2020-0796, ni la compañía ha puesto fecha a la liberación del mismo. De hecho, su existencia no tendría ni que ser pública: todo indica que Microsoft programó la inclusión del parche en su actualización de seguridad mensual y finalmente la descartó, pero el resumen de su vulnerabilidad sí se difundió.
Dicho resumen no permite a los ciberdelincuentes usarlo como 'guía' para realizar ataques, pero sí podría motivarles a buscar por sí mismos el agujero de seguridad. Por ahora, Microsoft sólo ha hecho públicas dos recomendaciones para evitar recibir ataques:
Bloquear el puerto 445, usado para enviar tráfico SMB entre equipos, lo que protegerá a clientes vulnerables (aunque su funcionamiento normal podría verse afectado).
Un comando PowerShell para deshabilitar la compresión SMBv3, lo que protegerá a los servidores:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Ver 1 comentarios