Puntuación CVSS: 9.8
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Visión general
Microsoft lanzó hoy un parche para una vulnerabilidad crítica (CVE-2020-17051) en el s erver de Windows NFSv3 (Network File System). NFS se utiliza normalmente en entornos heterogéneos de Windows y Unix/Linux para compartir archivos. La vulnerabilidad se puede reproducir para causar un BSOD inmediato (pantalla azul de la muerte) dentro del controlador nfssvr.sys. Curiosamente, los parches de noviembre de Microsoft también incluyen una vulnerabilidad de lectura remota de datos del kernel en el mismo controlador nfssvr.sys (CVE-2020-17056),lo que conducea un posible bypass ASLR (address space layout randomization). La combinación de estas dos vulnerabilidades aumenta drásticamente la probabilidad de un exploit remoto cuando se utiliza en Windows Server para eludir las mitigaciones de vulnerabilidades. CVE-2020-17051 es la primera vulnerabilidad conocida que se ha divulgado dentro de la implementación de Windows del protocolo NFSv3 a nuestro mejor conocimiento.
Superficie de amenaza
Se cree que la vulnerabilidad afecta a todas las versiones de Windows Server cuando:
- Un usuario autenticado tiene acceso de escritura a cualquier recurso compartido NFS.
- Un recurso compartido NFS se ha configurado con acceso de escritura anónimo (no se requiere autenticación)
Una consulta Shodan informó de 38.893 servidores con el puerto 2049 expuesto a Internet; sin embargo, se desconoce qué porcentaje de estos servidores son realmente recursos compartidos NFS y really configurado con acceso de escritura anónimo. La técnica de descubrimiento de recursos compartidos de red suele ser utilizada por un adversario dentro de la fase de descubrimiento del marco MITRE ATT&CK con el objetivo de obtener más privilegios. CVE-2020-17051 daría a los adversarios la capacidad de propagar gusanos, como en entornos heterogéneos de Windows y Unix/Linux mediante recursos compartidos de archivos de acceso de escritura anónimos a través de NFSv3.
Mitigación
El parcheado es siempre el primer y más eficaz curso de acción. Si no es posible aplicar revisiones, la mejor mitigación es limitar el acceso de escritura compartido del servidor NFSv3 de Windows internamente y bloquear unacceso externo a servidores vulnerables. Para aquellos clientes de McAfee que no pueden implementar el parche de Windows, las siguientes firmas de la plataforma de seguridad de red (NSP) proporcionarán un parche virtual contra el intento de explotación de esta vulnerabilidad.
NSP Attack ID: 0x40c01200 – NFS Microsoft Windows Network File System Remote Code Execution Vulnerability (CVE-2020-17051)