CVE-2020-1350: una vulnerabilidad en los servidores DNS de Windows

Microsoft ha lanzado un parche para una vulnerabilidad RCE crítica en los sistemas de Windows Server.

 

Microsoft ha informado de la vulnerabilidad CVE-2020-1350 en el servidor DNS de Windows. Malas noticias: la vulnerabilidad ha obtenido 10 puntos en la escala CVSS, lo que significa que es crítica. Buenas noticias: los ciberdelincuentes solo pueden explotarla si el sistema se está ejecutando en el modo de servidor DNS; namely, la cifra de ordenadores potencialmente vulnerables es relativamente pequeña. Además, la compañía ya ha lanzado parches y una solución alternativa.

¿Cuál es la vulnerabilidad y cuál es el nivel de peligrosidad?

CVE-2020-1350 permite que un ciberdelincuente obligue a los servidores DNS con Windows Server a ejecutar código malicioso de forma remota. En otras palabras, la vulnerabilidad pertenece a la clase RCE. Para explotar CVE-2020-1350, solo hay que enviar una solicitud especialmente generada para el servidor DNS.

El código de terceros se ejecuta en el contexto de la cuenta LocalSystem. Esta cuenta presenta grandes privilegios sobre el ordenador local y actúa como un ordenador en la red. Además, el subsistema de seguridad no reconoce la cuenta LocalSystem. Según Microsoft, el principal peligro de la vulnerabilidad es que puede usarse para propagar una amenaza a través de la red local; por lo que se clasifica como wormable, porque podría desencadenar un ataque de gusano.

¿Quién está en la zona de riesgo de la CVE-2020-1350?

Todas las versiones de Windows Server son vulnerables, pero solo si se ejecutan en el modo de servidor DNS. Si tu empresa no tiene un servidor DNS o usa un servidor DNS basado en un sistema operativo diferente, no tienes de qué preocuparte.

Afortunadamente, Check Point Research descubrió la vulnerabilidad y aún no existe información pública sobre cómo explotarla. Además, actualmente no hay pruebas de que la CVE-2020-1350 haya sido explotada por los atacantes.

No obstante, es muy probable que ahora que Microsoft ha recomendado la actualización del sistema, los ciberdelincuentes comiencen a analizar detenidamente los servidores DNS vulnerables y sin parches para descubrir cómo explotar la vulnerabilidad. Por ello, no deberías retrasar la instalación del parche.

Cómo actuar

Como ya mencionamos anteriormente, la mejor opción es instalar el parche de Microsoft, que modifica el método de gestión de las solicitudes de los servidores DNS. El parche está disponible para Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server versión 1903, Windows Server versión 1909 y Windows Server versión 2004. Puede descargarlo desde la página de Microsoft dedicada a esta vulnerabilidad.

However, algunas grandes empresas cuentan con reglas internas y una rutina establecida para las actualizaciones de software, y es posible que sus administradores de sistemas no puedan instalar el parche de inmediato. Para evitar que los servidores DNS se vean comprometidos en este tipo casos, la compañía también ha propuesto una solución alternativa que implica realizar los siguientes cambios en el registro del sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00

Después de guardar los cambios, tendrás que reiniciar el servidor. Ten en cuenta que esta solución puede conducir a un funcionamiento incorrecto del servidor, si es que, por casualidad, este recibiera un paquete TCP superior a 65,280 bytes. Por ello, Microsoft recomienda eliminar la clave TcpReceivePacketSize y su valor y devolver la entrada del registro a su estado original, una vez que el parche esté instalado.

Por nuestra parte, queremos recordarte que el servidor DNS que se ejecuta en tu infraestructura no deja de ser un ordenador, al igual que cualquier otro equipo, y que, therefore, también puede tener vulnerabilidades que los ciberdelincuentes intenten explotar.

SOURCE: https://www.kaspersky.es/blog/cve-2020-1350-dns-rce/23491/