Los investigadores de ciberseguridad revelaron hoy una nueva vulnerabilidad «crítica» muy crítica, con un puntaje de gravedad de 10 sobre 10 en la escala CVSS, que afecta las versiones de Windows Server 2003 a 2019.
La falla de ejecución remota de código de 17 años ( CVE-2020- 1350 ), denominado ‘ SigRed ‘ por Check Point, podría permitir que un atacante remoto no autenticado obtenga privilegios de administrador de dominio sobre los servidores seleccionados y tome el control completo de la infraestructura de TI de una organización.
Un actor de amenazas puede explotar la vulnerabilidad SigRed enviando consultas DNS maliciosas creadas a un servidor DNS de Windows y lograr la ejecución de código arbitrario, lo que permite al hacker interceptar y manipular los correos electrónicos y el tráfico de red de los usuarios, hacer que los servicios no estén disponibles, cosechar usuarios
En un informe detallado compartido con The Hacker News, el investigador de Check Point, Sagi Tzadik, confirmó que la falla es de naturaleza wormable, lo que permite a los atacantes lanzar un ataque que puede propagarse de una computadora vulnerable a otra sin ninguna interacción humana.
«Un solo exploit puede iniciar una reacción en cadena que permita que los ataques se propaguen de una máquina vulnerable a otra sin requerir ninguna interacción humana», dijo el investigador.
«Esto significa que una sola máquina comprometida podría ser un ‘súper difusor’, permitiendo que el ataque se extienda por toda la red de la organización a los pocos minutos del primer exploit».
Después de que la empresa de seguridad cibernética revelara sus hallazgos de manera responsable a Microsoft, el fabricante de Windows preparó un parche para la vulnerabilidad y comenzó a implementarlo a partir de hoy como parte de su martes de parches de julio, que también incluye actualizaciones de seguridad para otras 122 vulnerabilidades, con un total de 18 fallas listado como crítico y 105 como importante en severidad.
Microsoft dijo no encontró evidencia que demuestre que el error ha sido explotado activamente por los atacantes, y aconsejó a los usuarios que instalen los parches de inmediato.
«Windows DNS Server es un componente central de la red. Aunque actualmente no se sabe que esta vulnerabilidad se use en ataques activos, es esencial que los clientes apliquen las actualizaciones de Windows para abordar esta vulnerabilidad lo antes posible», dijo Microsoft.
Elaboración de respuestas DNS maliciosas
Al afirmar que el objetivo era identificar una vulnerabilidad que permitiría que un atacante no autenticado pusiera en peligro un entorno de dominio de Windows, los investigadores de Check Point dijeron que se enfocaron en el DNS de Windows, específicamente observando de cerca cómo un servidor DNS analiza una consulta entrante o una respuesta para un consulta reenviada
Una consulta reenviada ocurre cuando un servidor DNS no puede resolver la dirección IP de un nombre de dominio determinado (por ejemplo, www.google.com), lo que hace que la consulta se reenvíe a un servidor de nombres DNS (NS) autorizado.
Para explotar esta arquitectura, SigRed implica configurar los registros de recursos NS de un dominio («deadbeef.fun») para que apunten a un servidor de nombres malicioso («ns1.41414141.club»), y consultar el dominio del servidor DNS de destino para tener este último analiza las respuestas del servidor de nombres para todas las consultas posteriores relacionadas con el dominio o sus subdominios.
Con esta configuración en su lugar, un atacante puede desencadenar una falla de desbordamiento de entero en la función que analiza las respuestas entrantes para las consultas reenviadas («dns.exe! SigWireRead») para enviar una respuesta DNS que contenga un registro de recursos SIG mayor de 64 KB e induzca un «Desbordamiento de búfer basado en almacenamiento dinámico controlado de aproximadamente 64 KB sobre un búfer asignado pequeño».
Dicho de otra manera; la falla apunta a la función responsable de asignar memoria para el registro de recursos («RR_AllocateEx») para generar un resultado mayor a 65,535 bytes para causar un desbordamiento de enteros que conduce a una asignación mucho menor de lo esperado.
Pero con un solo mensaje DNS limitado a 512 bytes en UDP (o 4,096 bytes si el servidor admite mecanismos de extensión ) y 65,535 bytes en TCP, los investigadores descubrieron que una respuesta SIG con una firma larga por sí sola no era suficiente para desencadenar la vulnerabilidad.
