Llegamos a ustedes gracias a:



Alertas de Seguridad

Microsoft emite parche urgente

Para la vulnerabilidad identificada como SIGRed

[16/07/2020] Las vulnerabilidades de ejecución remota de código que afectan a los componentes centrales de red de los sistemas operativos son raras hoy en día; pero cuando ocurren, la industria de la tecnología de la información se pone en alerta porque se encuentran entre las fallas más peligrosas que pueden conducir a la explotación masiva de los sistemas informáticos en todo el mundo. El martes, Microsoft publicó un parche para tal vulnerabilidad que afecta su implementación del servidor del Sistema de Nombres de Dominio (DNS, por sus siglas en inglés) en Windows e instó a las organizaciones a desplegar el arreglo lo antes posible.

Una ejecución remota de código wormable

La vulnerabilidad, identificada como CVE-2020-1350, fue descubierta por investigadores de Check Point Software Technologies, que la apodaron SIGRed, un juego de palabras con el nombre de la función vulnerable que maneja las consultas del SIG del DNS. La falla recibió la máxima puntuación de 10 en la severidad del CVSS, lo que la hace crítica, y según Microsoft, es factible.

"Las vulnerabilidades worable tienen el potencial de propagarse a través de malware entre computadoras vulnerables sin la interacción del usuario", anotó el equipo de seguridad de Microsoft en una entrada de blog. "El servidor DNS de Windows es un componente central de la red. Aunque no se sabe actualmente que esta vulnerabilidad se utilice en ataques activos, es esencial que los clientes apliquen las actualizaciones de Windows para abordar esta vulnerabilidad lo antes posible".

Cabe destacar que esta vulnerabilidad no afecta al componente cliente de Windows DNS que se utiliza para consultar los servidores DNS, sino al componente de servidor que responde a las consultas DNS. Debido a esto, la falla afecta a todas las versiones de Windows Server a partir del 2008 que tienen el rol de DNS instalado, pero no afecta a las versiones de escritorio de Windows.

No todos los servidores de Windows están configurados para actuar como servidores DNS, pero los controladores de dominio de Windows normalmente lo hacen y se encuentran en el núcleo de las redes de Windows. Un atacante que explota con éxito la vulnerabilidad SIGRed puede ejecutar código arbitrario en el contexto de la cuenta de LocalSystem, lo que le da un control total sobre el sistema afectado. Si esos sistemas son controladores de dominio, el impacto se extiende a toda la red.

¿Cómo funciona la vulnerabilidad SIGRed?

SIGred se deriva de un error en la función que analiza las respuestas del DNS para consultas de tipo SIG, lo que da lugar a un desbordamiento de búferes en pila. El protocolo DNS se utiliza generalmente para traducir nombres de dominio en direcciones IP, lo que se conoce como un registro A. Sin embargo, el protocolo también admite otros tipos de registro, como el MX, que define el servidor designado para manejar el correo electrónico, o el NS, que define los servidores DNS autorizados de un dominio. SIG es un tipo de registro que se utiliza para proporcionar una firma asociada al dominio para cierta funcionalidad.

Además de responder a las consultas de los clientes, los servidores DNS también actúan como clientes, porque si no tienen una respuesta local en caché a una consulta, preguntan a los servidores más arriba en la cadena de autoridad. El DNS es un sistema jerárquico con 13 servidores DNS raíz en la parte superior que sirven a toda la Internet.

Para explotar la vulnerabilidad, los investigadores de Check Point necesitaban una forma de forzar al servidor DNS objetivo a reenviar una consulta recibida de un cliente a un servidor DNS que ellos controlaban para que pudiera responder con un paquete malformado de vuelta al servidor local que explotaría la vulnerabilidad.

Lo lograron forzando primero al servidor objetivo a guardar en caché un registro NS para un dominio que controlaban, y luego enviando otra consulta para un subdominio de ese dominio. Esto causó que el servidor local reenviara la consulta del subdominio al servidor DNS especificado en el registro NS del dominio que se considera autoritario. Como controlaban ese servidor DNS autoritativo, pudieron responder con el exploit.

Hacer que el exploit funcionara requirió un esfuerzo adicional, porque también necesitaban encontrar una forma de enviar respuestas que fueran más grandes que lo que el estándar DNS permite normalmente para desencadenar el desbordamiento. En el caso de los ataques desde fuera de las LAN, también necesitaban una forma de forzar a una computadora local en la misma red que el servidor DNS objetivo a enviarle consultas. Resultó que esto se puede lograr engañando a un usuario para que visite un sitio web específicamente diseñado en Internet Explorer o Microsoft Edge (versión no cromada) porque las consultas DNS se pueden "pasar de contrabando" en los datos HTTP POST.

Una cadena de ataque completa se vería así:

  • El atacante obtiene acceso a un sistema en la red local o engaña a un usuario de la red local para que visite una página web especialmente diseñada con IE o Edge.
  • El atacante envía una consulta NS al servidor DNS local para un dominio que ellos controlan, ya sea directamente desde dentro de la red o a través del navegador de la víctima. El servidor DNS local almacena en caché el registro NS.
  • El atacante envía otra consulta, esta vez por un registro SIG para un subdominio en el dominio del atacante. El servidor DNS local consulta al servidor DNS autorizado especificado en el registro NS almacenado en caché.
  • El atacante controla el servidor DNS autoritativo del dominio, permitiéndole devolver una respuesta DNS maliciosa que explota la vulnerabilidad.

Los investigadores de Check Point publicaron una detallada reseña técnica de todo el proceso, pero ocultaron detalles acerca de cómo evitar ciertas protecciones de memoria en Windows, lo cual es un paso necesario para convertir realmente el desbordamiento en ejecución de código.

"Creemos que la probabilidad de que esta vulnerabilidad sea explotada es alta, ya que internamente encontramos todas las primitivas necesarias para explotar este error", dijeron los investigadores en su entrada de blog. "Debido a las limitaciones de tiempo, no continuamos persiguiendo la explotación del error (que incluye encadenar todas las primitivas de explotación), pero creemos que un atacante decidido será capaz de explotarlo. La explotación exitosa de esta vulnerabilidad tendría un impacto severo, ya que a menudo se pueden encontrar entornos de dominio de Windows sin parches, especialmente controladores de dominio. Además, algunos proveedores de servicios de Internet (ISP) pueden incluso haber configurado sus servidores públicos de DNS como WinDNS".

Mitigaciones para SIGRed

Se aconseja a las organizaciones que instalen el parche de seguridad publicado por Microsoft lo antes posible. Si no pueden actualizar sus sistemas inmediatamente, pueden aplicar una solución de registro manualmente.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

DWORD = TcpReceivePacketSize

Value = 0xFF00

El servicio de DNS debe ser reiniciado después de esta modificación del registro para que surta efecto.