Redazione RHC : 16 septiembre 2025 11:37
Un investigador de seguridad desarrolló recientemente un exploit sin necesidad de hacer clic para el demonio del kernel SMB3 de Linux (ksmbd), que aprovecha dos vulnerabilidades específicas. Este exploit permite la ejecución remota de código (RCE) en modo kernel sin interacción del usuario, lo que representa una amenaza significativa para los sistemas vulnerables.
El primer error, identificado como CVE-2023-52440, implica un desbordamiento de SLUB en el método ksmbd_decode_ntlmssp_auth_blob(). Este error ocurre durante la autenticación NTLM, cuando el usuario controla la longitud de la clave de sesión (sess_key_len).
Configurar esta longitud demasiado alta puede sobrescribir la memoria adyacente, lo que permite la ejecución de código arbitrario. El exploit se probó en Linux versión 6.1.45, con todas las mitigaciones estándar habilitadas, como SMAP, SMEP, KPTI, KASLR y otras.
El segundo error, CVE-2023-4130, es una vulnerabilidad de lectura fuera de límites (OOB). En el método smb2_set_ea(). Esta falla permite a un usuario autenticado leer datos confidenciales de la memoria del núcleo aprovechando el manejo incorrecto de los atributos extendidos (xattr) en archivos compartidos a través de SMB3. La combinación de estas dos vulnerabilidades permite un control total del sistema objetivo.
El exploit desarrollado utiliza una técnica de pulverización de pila para manipular la memoria del montón, creando condiciones favorables para la ejecución de código malicioso. Una vez que se obtiene acceso a la memoria del núcleo, se ejecuta una cadena de retorno (ROP) para ejecutar un shell inverso, obteniendo así el control remoto del sistema. Este proceso ocurre sin interacción del usuario, lo que hace que el ataque sea particularmente insidioso.
El investigador probó el exploit en un sistema con un solo núcleo x86_64, pero observó que en sistemas multinúcleo, la fiabilidad del exploit disminuye debido a la gestión de las asignaciones de memoria por CPU. Además, el exploit puede causar inestabilidad en el sistema objetivo, lo que requiere intervención para restaurar la estabilidad después de la ejecución del ataque.
Para mitigar esta vulnerabilidad, se recomienda actualizar el sistema a la última versión del kernel de Linux, ya que las versiones posteriores a la 6.1.45 corrigieron ambas vulnerabilidades. Además, es importante configurar correctamente los permisos de acceso a los recursos compartidos SMB, limitando el acceso de escritura únicamente a usuarios autorizados. Deshabilitar la exposición de ksmbd a Internet y monitorear activamente la actividad sospechosa puede ayudar a reducir el riesgo de explotación de esta vulnerabilidad.
Este caso destaca la importancia de mantener los sistemas actualizados y aplicar las mejores prácticas de seguridad para prevenir ataques sofisticados como este. La comunidad de investigación en seguridad continúa monitoreando y analizando estas vulnerabilidades para mejorar la protección de los sistemas informáticos.
RedazioneSería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a p...
Una falla crítica de 13 años de antigüedad, conocida como RediShell , en Redis permite la ejecución remota de código (RCE) , lo que brinda a los atacantes la capacidad de obtener control total de...
Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....
Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...
Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...
