SigRed, una grave vulnerabilidad que afecta al servidor DNS de Windows

Recomendados:  Check Point CloudGuard SaaS, más que un CASB Leer  Los desastres ocurren... ¿tienes un plan de continuidad de negocio? Webinar ondemand

Check Point Software Technologies ha descubierto una vulnerabilidad crítica en el servidor DNS de Windows, que permitiría al cibercriminal realizar consultas DNS maliciosas al servidor de Windows y lograr una ejecución de código arbitraria que podría ofrecer un control total sobre toda la infraestructura TI de una empresa. Etiquetada como CVSS 10.0, la mayor puntuación de peligrosidad posible, esta vulnerabilidad crítica bautizada como SigRed, afecta a las versiones de los servidores de Windows de 2003 a 2019.

El DNS es parte de la infraestructura global de Internet que traduce los nombres de los sitios web que todos usamos, en las combinaciones numéricas que los ordenadores necesitan para encontrar ese sitio web, enviar un correo electrónico, etc. Estos registros DNS son servidores que están presentes en todas las empresas y, si se utilizan con intenciones maliciosas, darían a un cibercriminal derechos de administrador de dominio sobre el servidor, lo que le permitiría interceptar y manipular los correos electrónicos y el tráfico de la red de los usuarios, desactivar servicios, acceder a las credenciales de los usuarios y mucho más.

La vulnerabilidad descubierta reside en la forma en que el servidor DNS de Windows analiza una consulta entrante, así como en el análisis de la respuesta a una consulta. En caso de ser maliciosa, se desencadena un desbordamiento en la carga del búfer, que permite al cibercriminal tomar el control del servidor.

Lla gravedad de este fallo de seguridad queda demostrada por el hecho de que Microsoft lo describe como 'wormable', lo que significa que un solo exploit puede desencadenar la propagación de ataques sin necesidad de ninguna interacción humana. Un único equipo comprometido podría ser un "súper propagador", permitiendo que el ataque se extienda a través de la red de una organización en pocos minutos.

"Una brecha en el servidor DNS es una vulnerabilidad muy grave, puesto que, en la mayoría de las ocasiones, deja al cibercriminal en una posición privilegiada para generar una brecha de seguridad en una red corporativa. Cada empresa, grande o pequeña, que utiliza la infraestructura de Microsoft está ante un gran riesgo de seguridad, si se deja sin parchear. El riesgo implicaría una ruptura completa de toda la red corporativa. Esta vulnerabilidad ha existido en el código de Microsoft durante más de 17 años, por lo que es posible que algún cibercriminal la haya descubierto”, destaca Omri Herscovici, jefe de equipo de investigación de vulnerabilidades de Check Point.

El pasado 19 de mayo, Check Point reveló sus hallazgos a Microsoft, que reconoció la brecha de seguridad y ha publicado ya un parche de seguridad (CVE-2020-1350). Los expertos de la compañía de ciberseguridad recomiendan encarecidamente a los usuarios de Windows que parcheen sus servidores DNS afectados para evitar los efectos de esta vulnerabilidad, ya que la amenaza de un ataque de este tipo es muy grande.