Microsoft corrige un error crítico de DNS de 17 años en Windows Server

por

El error se ha considerado “desparasitante”, lo que significa que un solo exploit podría propagarse de un servidor sin parche a otro.

istock-678852044.jpg

Getty Images / iStockphoto

Se insta a las organizaciones que ejecutan Windows Server para la resolución de DNS a que apliquen un parche lanzado como parte del lanzamiento del martes de parches de julio de Microsoft. El parche resuelve un error de DNS que existe desde hace 17 años, pero que Microsoft ha identificado como crítico tras su reciente descubrimiento por parte del proveedor de inteligencia de amenazas cibernéticas Check Point Research.

VER: Kit de contratación: administrador de red (TechRepublic Premium)

Listado en un Página de asesoramiento de seguridad de Microsoft, la falla conocida como “CVE-2020-1350 Vulnerabilidad de ejecución remota de código del servidor DNS de Windows”, apunta a un problema con la implementación de DNS de Microsoft que puede resultar en que un servidor maneje incorrectamente las solicitudes de resolución de nombres de dominio. Los piratas informáticos capaces de aprovechar la vulnerabilidad podrían crear y enviar consultas DNS maliciosas al servidor DNS de Windows, lo que les permitiría obtener derechos de administrador de dominio y tomar el control de toda la red.

En su aviso, Microsoft no informó ningún caso real de la falla que se explota. Pero la empresa le dio a la vulnerabilidad la puntuación de riesgo de seguridad más alta posible (CVSS 10.0). Además, tanto Microsoft como Check Point etiquetaron la falla como gusano, lo que significa que podría propagarse a través de malware entre servidores vulnerables sin ninguna interacción del usuario a menos que el parche (o una solución alternativa) se aplique en cada máquina afectada.

“Una vulnerabilidad de gusanos como esta es el sueño de un atacante”, dijo Chris Hass, ex analista de seguridad de la NSA y actual director de seguridad de la información e investigación de Automox. “Un pirata informático no autenticado podría enviar paquetes especialmente diseñados al servidor DNS de Windows vulnerable para explotar la máquina, lo que permitiría ejecutar código arbitrario en el contexto de la cuenta del sistema local. Esta capacidad de gusano agrega una capa completamente diferente de gravedad e impacto, lo que permite a los autores de malware para que escriban ransomware similar a malware con gusanos notables como Wannacry y NotPetya “.

Los parches están disponibles para las últimas versiones afectadas de Windows Server, incluidas 2008, 2012, 2012 R2, 2016 y 2019, según el aviso de Microsoft. Sin embargo, Check Point dice que Server 2003 también se ve afectado. Microsoft ya no es compatible oficialmente con Windows Server 2003 o 2008. Los servidores afectados incluyen aquellos con una instalación GUI tradicional y una instalación Server Core. La vulnerabilidad se limita a la implementación del servidor DNS de Windows de Microsoft, por lo que los clientes DNS de Windows no se ven afectados.

Microsoft aconseja a todas las organizaciones que instalen el parche lo antes posible. Si el parche no se puede aplicar con la suficiente rapidez, se insta a los administradores a implementar la siguiente solución alternativa:

  1. En el Registro, vaya a la siguiente clave: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services DNS Parameters.
  2. Agregue el siguiente valor: DWORD = TcpReceivePacketSize y establezca los datos del valor en 0xFF00.
  3. Luego, deberá reiniciar el servicio DNS de la máquina.
  4. Para obtener más detalles, consulte la página de soporte de Microsoft en “Orientación para la vulnerabilidad del servidor DNS CVE-2020-1350. “
  5. Después de aplicar el parche real, elimine TcpReceivePacketSize y sus datos correspondientes para que todo lo demás bajo la clave HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services DNS Parameters permanezca como antes.

Aunque es posible que aún no exista una explotación en el mundo real, los ciberdelincuentes estarán ansiosos por aprovechar la falla ahora que se ha convertido en de conocimiento público.

“Esperamos ver explotaciones para esta vulnerabilidad en particular en la próxima semana, potencialmente más rápido y que será ampliamente explotada”, dijo Johnathan Cran, jefe de investigación de Kenna Security. “La vulnerabilidad solo requiere que el servidor realice una solicitud a otro servidor malicioso, por lo que esto afectará a la mayoría de las organizaciones que ejecutan el servidor DNS de Microsoft. En resumen, parchee esta vulnerabilidad de alto riesgo ahora”.

en un entrada de blog publicada el martes, Check Point describió en detalle cómo funciona el error. Doblando la falla SIGRed, la firma también dijo que cree que hay una alta probabilidad de que se explote esta vulnerabilidad.

“Una violación del servidor DNS es algo muy serio”, dijo Omri Herscovici, líder del equipo de investigación de vulnerabilidades de Check Point. “La mayoría de las veces, pone al atacante a solo una pulgada de distancia de la violación de toda la organización. Toda organización, grande o pequeña, que usa la infraestructura de Microsoft corre un gran riesgo de seguridad si no se repara. El riesgo sería una violación completa de toda la empresa. red. Esta vulnerabilidad ha estado en el código de Microsoft durante más de 17 años, por lo que si la encontramos, no es imposible suponer que otra persona ya la encontró también “.

Sigue navegando por nuestra web viendo más artículos.

Publicaciones relacionadas:

  1. Skype Empresarial: Se corrige el error “No se puede iniciar sesión porque la versión del servidor es incompatible con Microsoft Lync”.
  2. Windows 10: corrige “El almacén de componentes se ha dañado”. Error
  3. Windows 10: se corrige el error “No se puede cargar el perfil de usuario”
  4. Windows 10: corrige el error “La aplicación no se pudo iniciar correctamente (0xc0000018)”

Deja un comentario