Getty Images/iStockphoto

Se recomienda a las organizaciones que ejecutan Windows Server para la resolución de DNS que apliquen un parche lanzado como parte del lanzamiento del martes de parches de julio de Microsoft. El parche resuelve un error de DNS que ha existido durante 17 años, pero que Microsoft identificó como crítico luego de su reciente descubrimiento por parte del proveedor de inteligencia de amenazas cibernéticas Check Point Research.

VER: Kit de Reclutamiento: Administrador de Redes (Premium de TechRepublic)

La falla conocida como "vulnerabilidad de ejecución remota de código del servidor DNS de Windows CVE-2020-1350" que figura en una página de aviso de seguridad de Microsoft indica un problema con la implementación de DNS de Microsoft que puede hacer que un servidor maneje mal las solicitudes de resolución de nombres de dominio. Los piratas informáticos capaces de aprovechar la vulnerabilidad podrían crear y enviar consultas DNS maliciosas al servidor DNS de Windows, lo que les permitiría obtener derechos de administrador de dominio y tomar el control de toda una red.

En su aviso, Microsoft no informó ningún caso real de explotación de la falla. Pero la empresa le dio a la vulnerabilidad la puntuación de riesgo de seguridad más alta posible (CVSS 10.0). Además, Microsoft y Check Point han etiquetado la falla como gusano, lo que significa que podría propagarse a través de malware entre servidores vulnerables sin ninguna interacción del usuario, a menos que se aplique un parche (o una solución alternativa) a cada máquina afectada.

"Una vulnerabilidad de gusanos como esta es el sueño de un atacante", dijo Chris Hass, exanalista de seguridad de la NSA y actual director de investigación y seguridad de la información de Automox. “Un atacante no autenticado podría enviar paquetes especialmente diseñados al servidor DNS vulnerable de Windows para explotar la máquina, lo que permite la ejecución de código arbitrario en el contexto de la cuenta del sistema local. para escribir ransomware similar a notables programas maliciosos como Wannacry y NotPetya.

Las correcciones están disponibles para las últimas versiones afectadas de Windows Server, incluidas 2008, 2012, 2012 R2, 2016 y 2019, según el aviso de Microsoft. Sin embargo, Check Point indica que Server 2003 también se ve afectado. Microsoft ya no admite oficialmente Windows Server 2003 o 2008. Los servidores afectados incluyen aquellos con una instalación GUI tradicional y una instalación Server Core. La vulnerabilidad se limita a la implementación del servidor DNS de Windows de Microsoft, por lo que los clientes DNS de Windows no se ven afectados.

Microsoft aconseja a todas las organizaciones que instalen el parche lo antes posible. Si la corrección no se puede aplicar con la suficiente rapidez, se recomienda a los administradores que implementen la siguiente solución alternativa:

  1. En el registro, navegue hasta la siguiente clave: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters.
  2. Agregue el siguiente valor: DWORD=TcpReceivePacketSize y establezca los datos del valor en 0xFF00.
  3. Luego deberá reiniciar el servicio DNS de la máquina.
  4. Para obtener más detalles, consulte la página de soporte de Microsoft en "Guía para la vulnerabilidad del servidor DNS CVE-2020-1350".
  5. Después de aplicar la corrección real, elimine TcpReceivePacketSize y sus datos correspondientes para que todo lo demás debajo de la clave HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters permanezca como antes.

Aunque todavía no existe un exploit real, los ciberdelincuentes estarán ansiosos por aprovechar la falla ahora que se ha hecho pública.

"Esperamos que la próxima semana surjan explotaciones para esta vulnerabilidad en particular, potencialmente más rápido, y que será ampliamente explotada", dijo Johnathan Cran, jefe de investigación de Kenna Security. “La vulnerabilidad solo requiere que el servidor realice una solicitud a otro servidor malicioso, lo que afectará a la mayoría de las organizaciones que ejecutan el servidor DNS de Microsoft. En resumen, corrija esta vulnerabilidad de alto riesgo ahora.

En una publicación de blog publicada el martes, Check Point detalló cómo funciona el error. Apodando la falla SIGRed, la compañía también dijo que creía que había una alta probabilidad de que la vulnerabilidad pudiera ser explotada.

"Una violación del servidor DNS es algo muy serio", dijo Omri Herscovici, jefe del equipo de investigación de vulnerabilidades de Check Point. "La mayoría de las veces, esto pone al atacante a una pulgada de atravesar toda la organización. Cada organización, grande o pequeña, que usa la infraestructura de Microsoft está expuesta a un gran riesgo de seguridad si no el riesgo sería una violación completa de toda la empresa. Esta vulnerabilidad ha estado presente en el código de Microsoft durante más de 17 años, por lo que si la encontramos, no es imposible asumir que alguien más ya la ha encontrado también.