INTRODUCCIÓN

Las vulnerabilidades de los sistemas de información son aquellas

debilidades que se hacen públicas. La probabilidad de aprovechar las
vulnerabilidades y el impacto de dicha explotación enmarcan el concepto
de riesgo.

Lograr entender las tendencias de las vulnerabilidades más críticas, su

posible impacto e incluso los controles que se pueden implementar para
mitigar el riesgo, son los objetivos que se buscan por medio de este tipo de
artículos.

El equipo experto de ETEK International, desarrolla constantemente pruebas de concepto

e investigación de las distintas vulnerabilidades, no solamente para la mejora continua de
los servicios de Red Team sino también para alimentar al Equipo Azul (Security Operation
Center) con indicadores de compromiso que permitan identificar, contener y solucionar las
situaciones que se puedan desencadenar de un posible ataque que aproveche cada una de
las vulnerabilidades aquí presentadas.

La descripción que se desarrolla en este artículo de las vulnerabilidades enmarca un breve

resumen de la vulnerabilidad, su impacto, las variables de explotación, CVE asociado y los
posibles controles de mitigación

www.etek.com.co

@ETEKInt @ETEKInt ETEK International Colombia - Perú ETEKInt @etek_int

 2.1. [CRÍTICA] Vulnerabilidad de ejecución
remota de código de cliente / servidor
SMBv3 en Windows

Existe una vulnerabilidad de ejecución remota de código en la

forma en que el protocolo Microsoft Server Message Block 3.1.1
(SMBv3) maneja ciertas solicitudes. Un atacante puede aprovechar
con éxito la vulnerabilidad para obtener la capacidad de ejecutar
código en el servidor o cliente de destino.
Para aprovechar la vulnerabilidad contra un servidor, un atacante
no autenticado podría enviar un paquete especialmente diseñado
a un servidor SMBv3 de destino. La correcta explotación de esta
vulnerabilidad podría desencadenar un ciber ataque al ya
mundialmente conocido en abril de 2017 WannaCry el cual se
propagó de manera exponencial haciendo uso de una
vulnerabilidad similar bajo el protocolo SMBv1.

RECOMENDACIONES:
CVE: CVE-2020-0796
FECHA: 12/03/2020
Versiones Afectadas: Sistemas operativos Windows 10, Windows server 2008 en adelante
incluyendo 2019.
Vulnerabilidad: La vulnerabilidad permite la ejecución remota de código.
Explotación: ya fueron lanzados algunos exploits que permiten la explotación exitosa de la
vulnerabilidad, dichos exploits se pueden encontrar con el nombre de SMBGhost.
Impacto: Obtener acceso no autorizado como administrador a los dispositivos Windows vulnerables.
Sectores afectados: Todos los sectores empresariales pueden llegar a ser afectados con esta
vulnerabilidad
Solución: Instalar el parche de seguridad lanzado por Microsoft https://portal.msrc.microsoft.com/en-
US/security-guidance/advisory/CVE-2020-0796

Puede deshabilitar la compresión para impedir que los atacantes no autenticados aprovechen la
vulnerabilidad contra un servidor SMBv3 con el siguiente comando de PowerShell.
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
DisableCompression -Type DWORD -Value 1 -Force

www.etek.com.co

@ETEKInt @ETEKInt ETEK International Colombia - Perú ETEKInt @etek_int

 2.2. [CRÍTICA] Vulnerabilidad de ejecución
remota de código de LNK

Existe una vulnerabilidad de ejecución remota de código en Microsoft Windows

ocasionada por archivos alterados de tipo .LNK(acceso directo).
Un atacante que aproveche esta vulnerabilidad con éxito puede obtener la ejecución
remota con el usuario que se encuentre en ejecución. Es decir, si el atacante logra
que un usuario administrador tenga interacción con el archivo corrupto tendrá los
privilegios más altos sobre el equipo una vez comprometido.
El atacante podría presentar al usuario una unidad extraíble, o recurso compartido
remoto, que contenga un archivo .LNK malicioso y un binario malicioso asociado.
Cuando el usuario abre esta unidad (o recurso compartido remoto) en el Explorador
de Windows, o cualquier otra aplicación que analice el archivo .LNK, el binario
malicioso ejecutará el código de la elección del atacante, en el sistema de destino.

RECOMENDACIONES:
CVE: CVE-2020-0729
FECHA: 2/03/2020
Versiones Afectadas: Todas las versiones de Windows desde XP hasta server 2019.
Vulnerabilidad: La vulnerabilidad permite la ejecución remota de código.
Explotación: Realizando la modificación de la data de un archivo LNK, un atacante puede insertar un
código malicioso, obligando su ejecución en el momento en que la víctima realice la visualización del
archivo.
Impacto: Obtener acceso no autorizado con los permisos del usuario victima a los dispositivos
Windows vulnerables.
Sectores afectados: Todos los sectores empresariales pueden llegar a ser afectados con esta
vulnerabilidad.
Solución: Instalar el parche de seguridad lanzado por Microsoft https://portal.msrc.microsoft.com/en-
US/security-guidance/advisory/CVE-2020-0729

www.etek.com.co

@ETEKInt @ETEKInt ETEK International Colombia - Perú ETEKInt @etek_int

 2.3. [CRÍTICA] Ejecución remota de código en pi-hole
DNS

Pi-hole se ve afectado por una vulnerabilidad de ejecución remota de código. Un usuario

autenticado del portal web puede ejecutar comandos arbitrarios con el servidor
subyacente con los privilegios del usuario local que ejecuta el servicio. La explotación de
esta vulnerabilidad puede ser automatizada mediante el uso de exploits.
La vulnerabilidad se presenta en el formulario de validación de Direcciones MAC al
ECHA: 10/12/
momento de realizar la configuración de una dirección estática sobre el DHCP,
permitiéndole al atacante el envío de código malicioso en formato PHP seguido de la
validación de la dirección MAC.

RECOMENDACIONES:

CVE: CVE-2020-8816
FECHA: 28/03/2020
Versiones Afectadas: La interfaz web de Pi-hole versión 4.3.2 y anteriores.
Vulnerabilidad: La vulnerabilidad permite la ejecución de código y elevación de privilegios
Explotación: Para la explotación es necesario estar autenticado, dirigirse a la configuración de DHCP
y en el apartado MAC realizar el envío de (DirecciónMAC)&& (payload)
Impacto: Obtener acceso no autorizado sobre el servidor vulnerable
Sectores afectados: Departamentos de IT que utilicen PI-Hole DNS
Solución: Actualizar a la versión Pi-hole 4.3.3 o msuperior.
CVE: CVE-2019-147

www.etek.com.co

@ETEKInt @ETEKInt ETEK International Colombia - Perú ETEKInt @etek_int

 2.4. [CRÍTICA] Escalación de privilegios en Apache
Traffic Server
Recientemente han sido reportadas nuevas vulnerabilidades en Apache Traffic server
que permiten a un atacante remoto la escalación de privilegios. Las vulnerabilidades
se basan en un tipo de ataque de tráfico no autorizado y codificación fragmentada
sobre las solicitudes HTTP cliente-servidor.
Cuando una o más entidades en el flujo de datos entre el usuario y el servidor web,
como un proxy o firewall, interpretan las solicitudes HTTP anormales o malformadas,
pueden interpretarse de manera inconsistente, lo que permite al atacante enviar
solicitudes no permitidas al servidor.

RECOMENDACIONES:
CVE: CVE-2020-1944, CVE-2019-17565, CVE-2019-17559
FECHA: 27/03/2020
Versiones Afectadas: Apache Traffic Server (ATS), versiones: 6.0.0 - 6.2.3, 7.0.0 - 7.1.8, 8.0.0 - 8.0.5
Vulnerabilidad: La vulnerabilidad permite la elevación de privilegios sobre el servidor.
Explotación: mediante el envío de peticiones HTTP malformadas un atacante puede llegar a elevar
privilegios.
Impacto: Obtener acceso no autorizado con los permisos más altos del host vulnerable
Sectores afectados: Todos los sectores empresariales pueden llegar a ser afectados con esta
vulnerabilidad.
Solución: Actualizar a la versión correspondiente, desde el centro de descargas de ATS :
Para versiones 6.x: (7.1.9, 8.0.6 o posteriores.)- Para versiones 7.x: (7.1.9 o posteriores.)- Para
versiones 8.x: (8.0.6 o posteriores.) https://trafficserver.apache.org/downloads

www.etek.com.co

@ETEKInt @ETEKInt ETEK International Colombia - Perú ETEKInt @etek_int

 2.5. [CRÍTICA] Ejecución remota de código en el
análisis de fuentes tipo 1 (Windows)
Microsoft ha notificado la existencia de dos vulnerabilidades de ejecución remota de
código en Windows cuando la Biblioteca de Adobe Type Manager maneja
incorrectamente una fuente multimaestro especialmente diseñada: el formato Adobe
Type 1 PostScript.
Hay varias formas en que un atacante podría aprovechar la vulnerabilidad, como
ECHA:
convencer a un usuario para que abra un documento especialmente diseñado o verlo
10/12/
en el panel Vista previa de Windows.
Actualmente se ha confirmado que la vulnerabilidad es de criticidad 5 únicamente en
versiones de Windows 7, debido a que el atacante puede obtener los mayores
privilegios, en las otras versiones como Windows 10 el éxito del ataque es más limitado
con privilegios mucho más bajos.

RECOMENDACIONES:
ADV200006
FECHA: 23/03/2020
Versiones Afectadas: Sistemas operativos Windows 7.
Vulnerabilidad: La vulnerabilidad permite la ejecución de código y elevación de privilegios
Explotación: Para la explotación es necesario que el atacante cree un documento malicioso y lo haga
llegar a su víctima por medio de otros ataques como Phishing.
Impacto: Obtener acceso no autorizado sobre el equipo vulnerable
Sectores afectados: Todos los sectores empresariales pueden llegar a ser afectados.
Solución: Hay varias soluciones alternativas establecidas por Microsoft.
• Deshabilitar el Panel de vista previa y el Panel de detalles en el Explorador de Windows
• Deshabilitar el servicio WebClient
• Deshabilite la clave de registro ATMFD utilizando un script de implementación administrado
• Deshabilitar clave de registro ATMFD manualmente
Referencias: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200006

www.etek.com.co

@ETEKInt @ETEKInt ETEK International Colombia - Perú ETEKInt @etek_int