Check Point ha descubierto una vulnerabilidad crítica en el servidor DNS de Windows. Esta brecha de seguridad (etiquetada como CVSS 10.0, la mayor puntuación de peligrosidad posible) permitiría al cibercriminal realizar consultas DNS maliciosas al servidor de Windows, y lograr una ejecución de código arbitraria que podría ofrecer un control total sobre toda la infraestructura TI de una empresa. Esta vulnerabilidad crítica, que los investigadores de Check Point han denominado como SigRed, afecta a las versiones de los servidores de Windows de 2003 a 2019.
El DNS, a menudo también conocido como “la libreta de direcciones de Internet”, es parte de la infraestructura global de Internet que traduce los nombres de los sitios web que todos usamos, en las combinaciones numéricas que los ordenadores necesitan para encontrar ese sitio web, enviar un correo electrónico, etc. Estos registros DNS son servidores que están presentes en todas las empresas y, si se utilizan con intenciones maliciosas, darían a un cibercriminal derechos de administrador de dominio sobre el servidor, lo que le permitiría interceptar y manipular los correos electrónicos y el tráfico de la red de los usuarios, desactivar servicios, acceder a las credenciales de los usuarios y mucho más. En otras palabras, el ciberdelincuente puede hacerse con el control total de la infraestructura informática de una empresa.
¿Cómo funciona esta vulnerabilidad?
La vulnerabilidad reside en la forma en que el servidor DNS de Windows analiza una consulta entrante, así como en el análisis de la respuesta a una consulta. En caso de ser maliciosa, se desencadena un desbordamiento en la carga del búfer, que permite al cibercriminal tomar el control del servidor.
Por otra parte, la gravedad de este fallo de seguridad queda demostrada por el hecho de que Microsoft lo describe como ‘wormable’, lo que significa que un solo exploit puede desencadenar la propagación de ataques sin necesidad de ninguna interacción humana. Como la seguridad del DNS no es algo que muchas organizaciones vigilen o sobre la que tengan controles estrictos, un único equipo comprometido podría ser un “superpropagador”, permitiendo que el ataque se extienda a través de la red de una organización en pocos minutos.
“Una brecha en el servidor DNS es una vulnerabilidad muy grave, puesto que, en la mayoría de las ocasiones, deja al cibercriminal en una posición privilegiada para generar una brecha de seguridad en una red corporativa. Cada empresa, grande o pequeña, que utiliza la infraestructura de Microsoft está ante un gran riesgo de seguridad, si se deja sin parchear. El riesgo implicaría una ruptura completa de toda la red corporativa.
Esta vulnerabilidad ha existido en el código de Microsoft durante más de 17 años, por lo que es posible que algún cibercriminal la haya descubierto”, destaca Omri Herscovici, jefe de equipo de investigación de vulnerabilidades de Check Point. “Además, los resultados muestran que no importa cuán seguros creamos que estamos, hay una cantidad infinita de aspectos de seguridad por descubrir. La vulnerabilidad SigRed es sólo otra vulnerabilidad más, por lo que es crucial aplicar las medidas de seguridad necesarias para detener la próxima ciberpandemia”, añade Herscovici.
¿Cómo protegerse frente a este fallo de seguridad?
El pasado 19 de mayo de 2020, Check Point reveló responsablemente sus hallazgos a Microsoft, que reconoció la brecha de seguridad y ha publicado ya un parche de seguridad (CVE-2020-1350). Los expertos de la compañía de ciberseguridad recomiendan encarecidamente a los usuarios de Windows que parcheen sus servidores DNS afectados para evitar los efectos de esta vulnerabilidad, ya que la amenaza de un ataque de este tipo es muy grande.
Asimismo, desde Check Point aportan los 3 pasos claves que las empresas de todo el mundo deben seguir para estar protegidos frente a esta vulnerabilidad. La primera es aplicar el parche que Microsoft ha hecho público. La segunda, utilizar soluciones de seguridad para proteger la infraestructura TI corporativa. Y, por último, usar la siguiente solución para bloquear el ataque: En el tipo “CMD”: reg agregue “HKEY_LOCAL_MACHINESYSTEMN-CurrentControlSetN-ServicesNDNSN-Parámetros”/v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS.