El equipo de una empresa de pentest acaba de revelar los exploits de una prueba de concepto para explotar una vulnerabilidad en el sistema operativo Windows conocida como SMBGhost. Identificada como CVE-2020-0796, esa falla podría ser explotada por un actor de amenazas para realizar una escalada de privilegios en el sistema objetivo.
Por otro lado, las empresa de ciberseguridad Kryptos Logic reportó aproximadamente 48 mil servidores vulnerables a los ataques SMBGhost expuestos en línea y al alcance de cualquier usuario que sepa dónde buscar.
El año pasado, el gigante de los sistemas de TI filtró accidentalmente múltiples detalles sobre un problema de seguridad en el protocolo Microsoft Server Message Block (SMB). Acorde a los especialistas de la empresa de pentest, se trata de una vulnerabilidad de ejecución de código pre remota existente en el protocolo de comunicación de red SMBv3.
Acorde a los reportes, esta vulnerabilidad existe debido a un error en la forma en la que SMBv3 administra los paquetes de datos comprimidos creados con fines maliciosos. Un actor de amenazas remoto no autenticado podría explotar esta vulnerabilidad para explotar la falla y ejecutar código arbitrario en el contexto de la aplicación vulnerable.
Los expertos de la empresa de pentest señalan que la falla afecta a cualquier dispositivo con sistema operativo Windows 10 v1903, Windows Server v1903 (Server Core), Windows 10 v1909 y Windows Server v1909 (Server Core). No obstante, los especialistas no descartan que más implementaciones de Windows se vean comprometidas.
En respuesta a este reporte de seguridad, Microsoft lanzó la actualización KB4551762 para Windows 10, versiones 1903 y 1909, y Windows Server 2019, versiones 1903 y 1909.
Después de que los detalles sobre la vulnerabilidad fueron revelados, los especialistas comenzaron a desarrollar la prueba de concepto con el objetivo de desencadenar una condición de denegación de servicio (DDoS). Asimismo, especialistas de ZecOps lanzaron una prueba de concepto para ejecutar código remoto en los sistemas afectados.
Acorde al Instituto Internacional de Seguridad Cibernética (IICS), el error de desbordamiento de enteros ocurre en la función Srv2DecompressData en el controlador del servidor SMB srv2.sys. Los expertos lograron demostrar que la vulnerabilidad CVE-2020-0796 puede ser explotada para la escalada de privilegios locales. Usuarios e investigadores independientes deben en cuenta que este exploit está limitado para un nivel de integridad medio, ya que se basa en llamadas API que no están disponibles en un nivel de integridad inferior.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad