SMBGhost, así es como se llama a este nuevo fallo del protocolo SMBv3, tenía asignado CVE-2020-0796 , pero Microsoft no lo ha incluido en su famoso “Martes de parches”.

 

Hace un tiempo, el ramsomware WannaCry, aprovechó un fallo parecido en el protocolo SMBv1, poniendo en grandes apuros a un montón de empresas, incluso grandes empresas de conocido prestigio. Este fallo fue anunciado por dos empresas del mundo de la ciberseguridad, pero no por parte de Microsoft y al no encontrarse el parche en el último martes de parches, estas empresas han retirado el anuncio. No se conoce un exploit que aproveche esta vulnerabilidad, pero seguro que hay alguien preparándolo.

 

El fallo reside en la capacidad de compresión de SMBv3, Microsoft ha publicado un aviso para que lo usuarios deshabiliten la compresión en SMBv3 hasta que ellos liberen el parche, para deshabilitar la compresión en SMBv3 hay que usar un comando en powershell:

 

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force

Otra forma de reducir la superficie de exposición sería bloqueando el tráfico al puerto 445 en los firewalls perimetrales, pero el ataque sería siendo factible desde la red interna.

Actualización 13/03/2020: Microsoft publica el parche que soluciona al fallo: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

¡Si necesitas ayuda no dudes en contactar con nosotros!