La falla de uso compartido de archivos de Windows de día cero puede bloquear los sistemas, quizás peor

La implementación del protocolo de uso compartido de archivos de red SMB en Windows tiene una vulnerabilidad grave que podría permitir a los piratas informáticos, al menos, bloquear de forma remota los sistemas.

La vulnerabilidad sin parches fue revelada públicamente el jueves por un investigador de seguridad independiente llamado Laurent Gaffié, quien afirma que Microsoft ha retrasado el lanzamiento de un parche por la falla durante los últimos tres meses..

Gaffié, conocido en Twitter como PythonResponder, publicó un exploit de prueba de concepto para la vulnerabilidad en GitHub, desencadenando un aviso del Centro de Coordinación CERT (CERT / CC) en la Universidad Carnegie Mellon.

"Microsoft Windows contiene un error de corrupción de memoria en el manejo del tráfico SMB, que puede permitir que un atacante remoto no autenticado cause una denegación de servicio o ejecute potencialmente un código arbitrario en un sistema vulnerable", dijo CERT / CC en el aviso..

La implementación de Microsoft del protocolo Server Message Block (SMB) es utilizada por las computadoras Windows para compartir archivos e impresoras a través de una red y también maneja la autenticación de esos recursos compartidos.

La vulnerabilidad afecta a Microsoft SMB versión 3, la versión más reciente del protocolo. CERT / CC ha confirmado que el exploit puede usarse para bloquear versiones completamente parcheadas de Windows 10 y Windows 8.1.

Un atacante puede aprovechar la vulnerabilidad engañando a un sistema de Windows para conectarse a un servidor SMB malicioso que luego enviaría respuestas especialmente diseñadas. Hay una serie de técnicas para forzar tales conexiones SMB y algunas requieren poca o ninguna interacción del usuario, advirtió CERT / CC.

La buena noticia es que todavía no hay informes confirmados de ejecución exitosa de código arbitrario a través de esta vulnerabilidad. Sin embargo, si este es un problema de corrupción de memoria como lo describe CERT / CC, la ejecución del código podría ser una posibilidad.

"Los bloqueos que hemos observado hasta ahora no se manifiestan de una manera que sugiera la ejecución directa de código, pero eso puede cambiar, sin embargo, ya que tenemos tiempo para analizarlo más en profundidad", dijo Carsten Eiram, jefe de investigación. oficial de la firma de inteligencia de vulnerabilidad Risk Based Security, por correo electrónico. "Esta es solo la etapa inicial del análisis".

La compañía de Carsten también confirmó el bloqueo en un sistema Windows 10 completamente parcheado, pero aún no ha establecido si esto es solo un bloqueo de desreferencia de puntero NULL o el resultado de un problema más profundo que podría tener un impacto más grave. Solo para estar seguros, la compañía está siguiendo el lede de CERT / CC al tratar esto como una falla potencial en la ejecución del código. CERT / CC calificó el impacto de esta vulnerabilidad con 10, el máximo en el Sistema de puntuación de vulnerabilidad común (CVSS).

Gaffié dijo en Twitter que Microsoft planea solucionar este problema durante su próximo "Patch Tuesday", que este mes caerá el 14 de febrero, el segundo martes del mes. Sin embargo, es posible que Microsoft pueda salir de su ciclo de parche regular si la vulnerabilidad es realmente crítica y comienza a explotarse en la naturaleza.

Microsoft no respondió de inmediato a una solicitud de comentarios.

Tanto CERT / CC como Eiram aconsejan a los administradores de red que bloqueen las conexiones SMB salientes (puertos TCP 139 y 445 junto con los puertos UDP 137 y 138) desde las redes locales a Internet. Esto no eliminará por completo la amenaza, sino que la aislará de las redes locales..

Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.