El 14 de julio de 2020, dentro de su actualizaciones de seguridad mensuales de Microsoft, se publicó un parche de seguridad para una "vulnerabilidad de ejecución de código remoto en el servidor DNS de Windows" identificada como CVE-2020-1350, que afectaría a servidores Microsoft windows 2003 hasta 2019, que estén configurados para ejecutar el rol de servidor DNS.
La vulnerabilidad ha sigo renombrada como SIGRed y fue evaluada con una ponderación inicial de 10.0 según el estándar CVSSv3.0, lo que se traduce en un impacto crítico para el sistema. Según los boletines de Microsoft, se han lanzado parches para:
En cuanto a Windows Server 2003, no se difundieron parches de seguridad por ser un sistema operativo declarado sin soporte desde julio de 2015.
SIGRed
La vulnerabilidad estaría presente en los sistemas desde hace más de 15 años, su explotación permitía conseguir privilegios de administrador sobre el dominio y comprometer la infraestructura entera de las organizaciones. Al ser una vulnerabilidad con riesgo equiparable a EternalBlue en SMB o BlueKeep en RDP, permite al exploit propagarse con un comportamiento de "gusano" para vulnerar distintos equipos en la red sin interacción alguna del usuario. Esto significa que una sola máquina comprometida podría ser un "súper difusor", permitiendo que el ataque se extienda por toda la red de la organización a los pocos minutos de la primera explotación.
Esto no es una vulnerabilidad más de Microsoft, sino que ha sido catalogada como una vulnerabilidad muy crítica que debe ser parcheada a la brevedad posible.
A la fecha, Microsoft ha difundido que no encontró evidencia que demuestre que el error ha sido explotado activamente por los atacantes, y aconsejó a los usuarios que instalen los parches de inmediato.
Microsoft ha lanzado el parche dentro de su actualización de seguridad del mes de julio de 2020, no obstante también da instrucciones para una solución alternativa que pueda aplicarse momentáneamente sin necesidad de reiniciar el servidor.
Según comenta la empresa de seguridad CheckPoint:
"Para resumir, al enviar una respuesta DNS que contenga un gran registro SIG (mayor que 64 KB), podemos causar un desbordamiento del búfer basado en el almacenamiento dinámico de aproximadamente 64 KB en un búfer pequeño asignado".
El reporte técnico completo de esta vulnerabilidad fue levantado por CheckPoint y puede ser visto en este enlace.
El Centro de Ciberinteligencia, recomienda lo siguiente:
Solución alternativa
Una solución basada en el registro puede aprovecharse para ayudar a proteger un servidor de Windows afectado y se puede implementar sin necesidad de que un administrador reinicie el servidor. Debido a la volatilidad de esta vulnerabilidad, es posible que los administradores tengan que implementar la solución alternativa antes de aplicar la actualización de seguridad para permitirles que actualicen sus sistemas con un ritmo de implementación estándar.
Para evitar esta vulnerabilidad, realice el siguiente cambio de registro para restringir el tamaño del paquete de respuesta DNS entrante basado en TCP más grande permitido:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
TcpReceivePacketSize
Value = 0xFF00
Nota: Debe reiniciar el servicio DNS para que el cambio de registro surta efecto.
El valor predeterminado (también Max) = 0xFFFF
El valor recomendado = 0xFF00 (255 bytes menos que el máximo)
Después de implementar la solución alternativa, un servidor DNS de Windows no podrá resolver nombres DNS para sus clientes cuando la respuesta DNS del servidor que precede es superior a 65280 bytes.
Para mayores detalles, favor referirse al comunicado oficial de la marca: https://support.microsoft.com/es-cl/help/4569509/windows-dns-server-remote-code-execution-vulnerability
El listado de las CVE se adjunta a continuación:
| Producto | Versión |
|---|---|
| Microsoft Windows Server |
2003 2008 2008 R2 2012 2012 R2 2016 2019 |