TLP: White
NIVEL DE RIESGO – CVSS v3.1: 10.0 [Critico]
Acción Requerida: Aplicar la actualización liberada por Microsoft.
Vector de ataque: Remoto, Red.
Impacto: Ejecución de código arbitrario de manera remota en el dispositivo afectado.

Descripción

Microsoft ha publicado una actualización de seguridad para corregir la falla critica identificada como “SigRed”, rastreada con el identificador CVE-2020-1350 (CVSS 3.1 10.0[Critico]), una vulnerabilidad de ejecución crítica de código remoto (RCE) en el Servidor DNS de Windows que se clasifica como una vulnerabilidad ‘wormable’, las cuales son un tipo de fallas muy peligrosas porque tienen el potencial de propagar programas maliciosos entre computadoras vulnerables sin la interacción del usuario.

La vulnerabilidad existe debido a cómo el servicio “dns.exe” del servidor DNS de Windows analiza una consulta entrante y a cómo se manejan las consultas reenviadas. Específicamente, enviar una respuesta DNS con un registro SIG de más de 64 KB puede causar un desbordamiento de búfer. Esta vulnerabilidad afecta a Windows Server desde la versión 2003 hasta la versión 2019, por lo que se han liberado actualizaciones para plataformas que oficialmente ya no tienen soporte como Windows Server 2008 en gran parte por la criticidad de la vulnerabilidad. Microsoft detalla que los servidores DNS que no son de Microsoft no se ven afectados.

Al explotar la falla, un usuario malintencionado puede crear consultas DNS maliciosas a servidores DNS de Microsoft Windows y lograr la ejecución de código arbitrario que podría conducir a la violación de la infraestructura de las organizaciones. Aunado a lo anterior, a medida que el servicio se ejecuta con privilegios elevados del usuario SYSTEM. En escenarios limitados, la vulnerabilidad se puede activar de forma remota a través de sesiones de navegador.

Si bien actualmente no se sabe que esta vulnerabilidad se use en ataques activos, es esencial que los clientes apliquen las actualizaciones en cuestión para abordar esta vulnerabilidad lo antes posible.

Prueba de Concepto

Se ha identificado una prueba de concepto en GitHub para aprovechar la vulnerabilidad y para identificarla en equipos vulnerables, la cual está disponible mediante la siguiente URL.

Nivel de riesgo

  • CVSS v3.1 10.0 [Critico]

Sistemas/tecnologías afectadas:

  • Windows Server desde la versión 2003 hasta la 2019.

Medidas de mitigación

Microsoft ha publicado una medida de mitigación en caso de que aplicar la actualización rápidamente no sea práctico. Esta medida no requiere reiniciar el servidor. La medida implica realizar un cambio en el registro de Windows para restringir el tamaño del paquete de respuesta DNS entrante basado en TCP de la siguiente forma:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Value = 0xFF00

Es necesario reiniciar el servicio de DNS para que los cambios surtan efecto.
El valor predeterminado (también máximo) = 0xFFFF
El valor recomendado = 0xFF00 (255 bytes menos que el máximo)
Después de implementar esta solución alternativa, un servidor DNS de Microsoft Windows no podrá resolver los nombres DNS de sus clientes cuando la respuesta DNS del servidor ascendente sea mayor de 65280 bytes.

Microsoft señala que al implementar esta solución:

  • Los paquetes de respuesta DNS basados en TCP que exceden el valor recomendado se descartarán sin error, por lo que es posible que algunas consultas no sean respondidas. Esto podría resultar en una falla imprevista. Un servidor DNS solo se verá afectado negativamente por esta solución si recibe respuestas TCP válidas que son mayores de lo permitido en la mitigación anterior (más de 65,280 bytes).
  • Es poco probable que el valor reducido afecte las implementaciones estándar o las consultas recursivas, pero en un caso de uso no estándar puede estar presente en un entorno determinado. Para determinar si la implementación del servidor se verá afectada negativamente por esta solución alternativa, debe habilitar el registro de diagnóstico y capturar un conjunto de muestra que sea representativo de su flujo comercial típico. Luego, deberá revisar los archivos de registro para identificar la presencia de paquetes de respuesta TCP anormalmente grandes.

Medidas de erradicación

  • Aplicar las actualizaciones de seguridad liberadas por Microsoft para corregir esta falla (KB4569509).

Referencias