Fuente: SearchSecurity.com

Microsoft publicó un aviso el martes alertando a los usuarios sobre una falla crítica en el Server Message Block (SMB) y publicó las medidas que pueden tomar los usuarios para mitigar la amenaza de un ataque.

El SMB se usa en Windows para comunicar mensajes a los dispositivos de la red y se utiliza para compartir archivos y comunicarse con las impresoras. El SANS Internet Storm Center, advirtió que el código de explotación surgió la semana pasada, atacando la vulnerabilidad de día cero.

En su aviso, Microsoft dijo que la falla es causada porque la implementación de SMB no analiza adecuadamente las solicitudes de negociación SMB.

“Microsoft está trabajando en desarrollar una actualización de seguridad para Windows para corregir esta vulnerabilidad”, el gigante del software dijo en su aviso. “Microsoft lanzará la actualización de seguridad una vez se haya alcanzado un nivel adecuado de calidad para una amplia distribución.”

La falla puede ser aprovechada atacando a los usuarios de Windows 7 y Windows Vista con SMB habilitado. El código de explotación, publicado en la lista de correo “Full-Disclosure” e integrado a la plataforma de pruebas Metasploit, permite a un atacante provocar la caída de la máquina de forma remota.

Christopher Budd, jefe de comunicaciones de respuesta de seguridad para Microsoft dijo que Microsoft no está enterado de algún ataque que utilice esta vulnerabilidad.

En las pruebas del código de explotación, los investigadores de Microsoft descubrieron que algunos intentos de aprovechar la debilidad permitían a un atacante tomar el control completo del sistema afectado. Sin embargo, la mayoría de los intentos resultaron en un reinicio del sistema.

El centro de información sobre vulnerabilidades Secunia dio a la falla una calificación de moderadamente crítica. Como solución, Microsoft sugiere desactivar SMB2, pero advierte que el uso de Editor del Registro puede provocar problemas graves que pueden requerir una reinstalación del sistema operativo. Como alternativa, los usuarios pueden bloquear los puertos TCP 139 y 445 en el firewall, un método que bloquea todas las comunicaciones entrantes no solicitadas de Internet. Microsoft advirtió que esta solución podría hacer que las aplicaciones dejen de funcionar.

Microsoft dijo que era la segunda vez en dos semanas que una falla no era informada responsablemente al fabricante de software. La semana pasada, circulaba en el sitio milw0rm código de explotación que permite a los atacantes explotar una vulnerabilidad de FTP en el Microsoft Internet Information Services (IIS). Microsoft está probando actualmente un parche, pero podría no tenerlo listo a tiempo para su revisión mensual de actualizaciones el martes.