– Aunque Microsoft corrigió el agujero de seguridad en el error codificado CVE-2020-0796 en marzo pasado, resulta que hay alrededor de 100 mil dispositivos con Windows 10 que todavía están amenazados por este ataque de error. Porque los 100 mil dispositivos no se han actualizado para parchear la brecha de seguridad. La brecha es vulnerable a un ataque de malware llamado SMBGhost.
Microsoft lanzó una actualización con una ejecución remota de código (RCE) para parchear el error CVE-2020-0796 en marzo. La actualización afecta a los dispositivos que ejecutan Windows 10 y Windows Server 2019. Se sabe que la vulnerabilidad se encuentra en el protocolo Microsoft Server Message Block (SMB) en la versión 3.1.1. Este protocolo es el mismo que fue atacado por el infame ransomware WannaCry en 2017.
“Todavía no está claro qué método usa Shodan para determinar si una máquina en particular es vulnerable a los ataques de SMBGhost o no. Pero si el método es preciso, entonces hay al menos 100 mil dispositivos que pueden ser penetrados “, dijeron investigadores del SANS Internet Storm Center.
Según él, la mayoría de los dispositivos que son vulnerables a los ataques SMBGhost se encuentran en Taiwán hasta el 22 por ciento, en Japón el 20 por ciento, en Rusia el 11 por ciento y en los Estados Unidos hasta el 9 por ciento. Microsoft también ha lanzado una actualización para solucionarlo con KB4551762.
A cambio de esa actualización de parche, Microsoft informó en marzo a los administradores que podían usar PowerShell para deshabilitar SMBv3, lo que luego podría bloquear a las partes no autenticadas para que no exploten esos servidores SMBv3.
Más específicamente, para proteger a los clientes de ataques externos, es necesario bloquear el puerto TCP 445 en el firewall del perímetro de la empresa. Después de realizar una investigación exhaustiva sobre los usuarios del puerto TCP 445, SANS Internet Storm Center descubrió que al menos el 8 por ciento de todas las direcciones IP existentes aún tienen el puerto TCP 445 abierto.
Es muy importante que los administradores parcheen sus sistemas para evitar ataques de SMBGhost. Aunque se sabe que muchos ataques SMBGhost terminan en ataques DDoS o denegación de servicio.
