La pasada semana se descubrió una nueva vulnerabilidad en el protocolo de Windows SMBv3. Esta vulnerabilidad permite la ejecución remota de código (RCE) y afecta a las últimas Windows 10 (1903 y 1909) y las equivalentes de Windows Server.

Esta vulnerabilidad corresponde al código CVE-2020-0796 y ya ha sido bautizada con varios nombres como SMBGhost o CoronaBlue.

Esta nueva vulnerabilidad ha sido catalogada como “wormable” lo que la hace muy peligrosa ya que pronto podría existir algún malware que la aprovechase y se extendiese rápidamente por los sistemas que no estén parcheados.

Le pasado jueves Microsoft lanzó el correspondiente parche para resolver el tema aunque tampoco estaría nada mal que por ejemplo siguieses estos consejos.

El más extendido es deshabilitar la compresión SMBv3 lo cual se puede hacer cambiando un valor en el registro de Windows. Otro sería bloquear el tráfico al puerto tcp 445 lo que como efecto colateral nos dejaría sin poder compartir ficheros en nuestra máquina por lo que tampoco es muy recomendable.

En cualquier caso recurda que la mejor opción es tener cuidado sobre las redes a las que nos conectamos con nuestros equipos cuyo puerto tcp 445 esté expuesto y sobre todo tener cuidado con los mensajes de “phising” ya que para la explotación de la misma, hace falta que la víctima entre en el servidor SMB del atacante.

Forensic
Other