Vulnerabilidad crítica Microsoft en entornos empresariales

Una vulnerabilidad crítica en Microsoft pone en riesgo la seguridad de todas las empresas del mundo, la brecha de seguridad permitiría a los criminales realizar consultar DNS falsas.

La vulnerabilidad crítica está presente en el servidor DNS de equipos Microsoft Windows y puede permitir en ciertas condiciones, que cibercriminales puedan obtener derechos de administrador en servidores de dominio y tomar el control completo de la infraestructura TI de muchas empresas.

La brecha de seguridad ha sido etiquetada como CVSS 10.0 -CRITICAL-, la mayor puntuación posible por peligrosidad, pues permitiría realizar consultas DNS maliciosas contra el servidor y lograr finalmente la ejecución arbitraria de código, con el fin de tomar el control total del servidor de dominio y en consecuencia, de toda la infraestructura TI de una empresa.

El Centro Criptológico Nacional publicó ayer (16/07/2020), la vulnerabilidad también llamada SigRed, con nivel de peligrosidad catalogada como crítica.

La detección de esta nueva vulnerabilidad afecta a versiones de Windows server 2003 a 2019.

CVE-2020-1350: La vulnerabilidad se ubica en la implementación de DNS de Microsoft que puede explotarse cuando el servidor analiza una consulta entrante o una respuesta a una solicitud reenviada. Concretamente, existe un desbordamiento de enteros que conduce a un desbordamiento de búfer en “dns.exe! SigWireRead”, función que analiza los tipos de respuesta para consultas SIG. Por lo tanto, al enviar una respuesta DNS que contenga un registro SIG grande (>64KB), es posible causar dicho desbordamiento de memoria.

Cabe destacar que la vulnerabilidad es de naturaleza “wormable”, lo que quiere decir que un ataque podría propagarse de un sistema vulnerable a otro sin ninguna interacción por parte de los usuarios. Una explotación exitosa podría permitir la manipulación de correos electrónicos y tráfico de red, interrumpir servicios y/o acceder a las credenciales de los usuarios.

Por el momento la base de datos del NIST no ha asignado la correspondiente criticidad al CVE-2020-1350 según la escala CVSSv3, aunque Microsoft sí lo ha hecho con un score de 10.0 (CVSSv3.0). Hasta la fecha no se conocen reportes sobre la posible explotación activa en la red que se aproveche de esta vulnerabilidad.

Recursos afectados:

Microsoft ha publicado un aviso de seguridad en el que figuran los siguientes productos afectados por la vulnerabilidad SigRed:

  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

Solución a las vulnerabilidades:

Microsoft ya ha lanzado un parche que soluciona esta vulnerabilidad y lo ha implementado como parte de su “martes de parches” de este mes de julio por lo que los clientes con actualizaciones automáticas activadas no necesitan realizar ninguna acción adicional. No obstante, las actualizaciones también se encuentran disponibles en el propio aviso publicado por el fabricante:

Recomendaciones:

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

En caso de no ser posible aplicar la actualización descrita, Microsoft también ha publicado una solución alternativa basada en claves de registro que no requiere de reinicio del servidor:

Referencias: