Todas las versiones de Windows Server de 2003 a 2019 son vulnerables a una vulnerabilidad recientemente identificada, denominada SigRed, en DNS de Windows, el servicio del sistema de nombres de dominio proporcionado por Microsoft en los sistemas operativos Windows.
Descubierto por Punto de control investigador Sagi Tzaik y reportado por primera vez a Microsoft por Check Point a través de un programa de divulgación el 19 de mayo de 2020, el CVE-2020-1350 La vulnerabilidad se está parcheando en la actualización del martes de parches de julio de Microsoft. Se le ha asignado una puntuación CVSS de 10, la más alta posible.
La vulnerabilidad SigRed existe en la forma en que el servidor DNS de Windows analiza una consulta DNS entrante y en cómo analiza una respuesta a una consulta DNS reenviada. Si un atacante puede desencadenarlo con éxito con una consulta DNS maliciosa, puede desencadenar un desbordamiento de búfer basado en el montón, que a su vez les permitirá tomar el control del servidor y fingir derechos de administrador de dominio. Esto les permite interceptar y manipular el correo electrónico y el tráfico de la red, comprometer los servicios y obtener credenciales, entre otras cosas.
Críticamente, SigRed es wormable, lo que significa que un solo exploit puede causar una reacción en cadena, permitiendo que los ataques se propaguen a través de una red sin ninguna acción por parte del usuario; en efecto, una sola máquina comprometida se convierte en un súper propagador.
“Una violación del servidor DNS es un problema crítico. La mayoría de las veces, coloca al atacante a solo una pulgada de distancia de violar a toda la organización. Solo hay un puñado de estos tipos de vulnerabilidad lanzados. Toda organización, grande o pequeña, que use la infraestructura de Microsoft corre un gran riesgo de seguridad si no se resuelve esta falla ”, dijo Omri Herscovici, líder del equipo de investigación de vulnerabilidades de Check Point.
“El riesgo sería una violación completa de toda la red corporativa. Esta vulnerabilidad ha estado en el código de Microsoft durante más de 17 años, por lo que si la encontramos, no es imposible suponer que alguien más ya la encontró «.
“Una violación del servidor DNS es un problema crítico. Pone al atacante a solo una pulgada de distancia de violar a toda la organización. Toda organización que use la infraestructura de Microsoft corre un gran riesgo de seguridad si esta falla no se parcha ”
Omri Herscovici, punto de control
Check Point recomienda encarecidamente a los usuarios de Windows que apliquen parches a sus servidores afectados lo antes posible; como se señaló anteriormente, hoy se ofrece una solución (14 de julio) como parte de la última actualización de Patch Tuesday.
Herscovici dijo que la probabilidad de que SigRed fuera explotado en algún momento de la próxima semana era muy alta, ya que su equipo había podido encontrar todas las primitivas necesarias para aprovecharlo, sugiriendo que sería fácil para un hacker determinado hacer el mismo.
“Además, nuestros hallazgos nos muestran a todos que no importa cuán seguros creemos que somos, siempre hay más problemas de seguridad esperando a ser descubiertos. Llamamos a la vulnerabilidad SigRed, y creemos que debería ser la máxima prioridad para remediarla. Esta no es solo otra vulnerabilidad: parche ahora para detener la próxima pandemia cibernética ”, dijo.
Además de aplicar el parche de inmediato, Check Point detalló una solución alternativa para bloquear el ataque, que va así: en «CMD» escriba: reg agregue «HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services DNS Parameters» / v «TcpReceivePacketSize» / t REG_DWORD / d 0xFF00 / f net stop DNS && net start DNS.
