Redazione RHC : 16 septiembre 2025 11:37
Un investigador de seguridad desarrolló recientemente un exploit sin necesidad de hacer clic para el demonio del kernel SMB3 de Linux (ksmbd), que aprovecha dos vulnerabilidades específicas. Este exploit permite la ejecución remota de código (RCE) en modo kernel sin interacción del usuario, lo que representa una amenaza significativa para los sistemas vulnerables.
El primer error, identificado como CVE-2023-52440, implica un desbordamiento de SLUB en el método ksmbd_decode_ntlmssp_auth_blob(). Este error ocurre durante la autenticación NTLM, cuando el usuario controla la longitud de la clave de sesión (sess_key_len).
Configurar esta longitud demasiado alta puede sobrescribir la memoria adyacente, lo que permite la ejecución de código arbitrario. El exploit se probó en Linux versión 6.1.45, con todas las mitigaciones estándar habilitadas, como SMAP, SMEP, KPTI, KASLR y otras.
El segundo error, CVE-2023-4130, es una vulnerabilidad de lectura fuera de límites (OOB). En el método smb2_set_ea(). Esta falla permite a un usuario autenticado leer datos confidenciales de la memoria del núcleo aprovechando el manejo incorrecto de los atributos extendidos (xattr) en archivos compartidos a través de SMB3. La combinación de estas dos vulnerabilidades permite un control total del sistema objetivo.
El exploit desarrollado utiliza una técnica de pulverización de pila para manipular la memoria del montón, creando condiciones favorables para la ejecución de código malicioso. Una vez que se obtiene acceso a la memoria del núcleo, se ejecuta una cadena de retorno (ROP) para ejecutar un shell inverso, obteniendo así el control remoto del sistema. Este proceso ocurre sin interacción del usuario, lo que hace que el ataque sea particularmente insidioso.
El investigador probó el exploit en un sistema con un solo núcleo x86_64, pero observó que en sistemas multinúcleo, la fiabilidad del exploit disminuye debido a la gestión de las asignaciones de memoria por CPU. Además, el exploit puede causar inestabilidad en el sistema objetivo, lo que requiere intervención para restaurar la estabilidad después de la ejecución del ataque.
Para mitigar esta vulnerabilidad, se recomienda actualizar el sistema a la última versión del kernel de Linux, ya que las versiones posteriores a la 6.1.45 corrigieron ambas vulnerabilidades. Además, es importante configurar correctamente los permisos de acceso a los recursos compartidos SMB, limitando el acceso de escritura únicamente a usuarios autorizados. Deshabilitar la exposición de ksmbd a Internet y monitorear activamente la actividad sospechosa puede ayudar a reducir el riesgo de explotación de esta vulnerabilidad.
Este caso destaca la importancia de mantener los sistemas actualizados y aplicar las mejores prácticas de seguridad para prevenir ataques sofisticados como este. La comunidad de investigación en seguridad continúa monitoreando y analizando estas vulnerabilidades para mejorar la protección de los sistemas informáticos.
RedazioneGoogle ha emitido un aviso urgente sobre una vulnerabilidad crítica en Android que permite a los atacantes ejecutar código arbitrario en el dispositivo sin interacción del usuario. La vulnerabilida...
El 29 de octubre, Microsoft publicó un fondo de pantalla para conmemorar el undécimo aniversario del programa Windows Insider , y se especula que fue creado utilizando macOS. Recordemos que Windows ...
Los ladrones entraron por una ventana del segundo piso del Museo del Louvre, pero el museo tenía problemas que iban más allá de las ventanas sin asegurar, según un informe de auditoría de ciberse...
Reuters informó que Trump declaró a la prensa durante una entrevista pregrabada para el programa «60 Minutes» de CBS y a bordo del Air Force One durante el vuelo de regreso: «No vamos a permitir ...
Un informe de FortiGuard correspondiente al primer semestre de 2025 muestra que los atacantes motivados por intereses económicos están evitando cada vez más las vulnerabilidades y el malware sofist...
