Vulnerabilidad crítica de 17 años de RCE ‘Wormable’ afecta a los servidores DNS de Windows

hackear el servidor dns de windows

Los investigadores de seguridad cibernética revelaron hoy una nueva vulnerabilidad «gusana» altamente crítica, con una puntuación de gravedad de 10 sobre 10 en la escala CVSS, que afecta a las versiones de Windows Server 2003 a 2019.

La falla de ejecución remota de código de 17 años (CVE-2020-1350), denominada ‘SigRojo‘de Check Point, podría permitir que un atacante remoto no autenticado obtenga privilegios de administrador de dominio sobre los servidores objetivo y tome el control completo de la infraestructura de TI de una organización.

Un actor de amenazas puede explotar la vulnerabilidad de SigRed enviando consultas DNS maliciosas diseñadas a un servidor DNS de Windows y lograr la ejecución de código arbitrario, lo que permite al pirata informático interceptar y manipular los correos electrónicos y el tráfico de red de los usuarios, hacer que los servicios no estén disponibles, recopilar las credenciales de los usuarios y mucho más.

En un informe detallado compartido con The Hacker News, el investigador de Check Point, Sagi Tzadik, confirmó que la falla es de naturaleza gusano, lo que permite a los atacantes lanzar un ataque que puede propagarse de una computadora vulnerable a otra sin interacción humana.

«Un solo exploit puede iniciar una reacción en cadena que permite que los ataques se propaguen de una máquina vulnerable a otra sin necesidad de interacción humana», dijo el investigador.

«Esto significa que una sola máquina comprometida podría ser un ‘súper esparcidor’, lo que permitiría que el ataque se propague por toda la red de una organización a los pocos minutos del primer exploit».

Después de que la firma de ciberseguridad revelara responsablemente sus hallazgos a Microsoft, el fabricante de Windows preparó un parche para la vulnerabilidad y comenzó a implementarlo a partir de hoy como parte de su Patch Tuesday de julio, que también incluye actualizaciones de seguridad para otras 122 vulnerabilidades, con un total de 18 fallas. catalogado como crítico, y 105 como importante en severidad.

Microsoft dijo que no encontró evidencia que demuestre que los atacantes han explotado activamente el error y aconsejó a los usuarios que instalen los parches de inmediato.

«Windows DNS Server es un componente central de la red. Si bien actualmente no se sabe que esta vulnerabilidad se use en ataques activos, es esencial que los clientes apliquen actualizaciones de Windows para abordar esta vulnerabilidad lo antes posible», dijo Microsoft.

Creación de respuestas DNS maliciosas

Al afirmar que el objetivo era identificar una vulnerabilidad que permitiría a un atacante no autenticado comprometer un entorno de dominio de Windows, los investigadores de Check Point dijeron que se centraron en el DNS de Windows, específicamente observando más de cerca cómo un servidor DNS analiza una consulta entrante o una respuesta para un consulta reenviada.

Una consulta reenviada ocurre cuando un servidor DNS no puede resolver la dirección IP para un nombre de dominio determinado (por ejemplo, www.google.com), lo que hace que la consulta se reenvíe a un servidor de nombres (NS) DNS autorizado.

Para explotar esta arquitectura, SigRed implica configurar los registros de recursos NS de un dominio («deadbeef.fun») para apuntar a un servidor de nombres malicioso («ns1.41414141.club») y consultar el servidor DNS de destino para el dominio a fin de tener este último analiza las respuestas del servidor de nombres para todas las consultas posteriores relacionadas con el dominio o sus subdominios.

Con esta configuración en su lugar, un atacante puede desencadenar una falla de desbordamiento de enteros en la función que analiza las respuestas entrantes para las consultas reenviadas («dns.exe! SigWireRead») para enviar una respuesta DNS que contiene un registro de recursos SIG de más de 64 KB e inducir una «desbordamiento de búfer controlado basado en montón de aproximadamente 64 KB sobre un pequeño búfer asignado».

Dicho de otra manera; la falla apunta a la función responsable de asignar memoria para el registro de recursos («RR_AllocateEx») para generar un resultado mayor a 65,535 bytes para causar un desbordamiento de enteros que conduce a una asignación mucho más pequeña de lo esperado.

Pero con un solo mensaje DNS limitado a 512 bytes en UDP (o 4096 bytes si el servidor admite mecanismos de extensión) y 65 535 bytes en TCP, los investigadores descubrieron que una respuesta SIG con una firma larga por sí sola no era suficiente para desencadenar la vulnerabilidad.

Para lograr esto, el ataque aprovecha inteligentemente la compresión de nombres de DNS en las respuestas de DNS para crear un desbordamiento de búfer utilizando la técnica antes mencionada para aumentar el tamaño de la asignación en una cantidad significativa.

Explotación remota de la falla

Eso no es todo. SigRed se puede activar de forma remota a través de un navegador en escenarios limitados (por ejemplo, Internet Explorer y navegadores Microsoft Edge no basados ​​en Chromium), lo que permite a un atacante abusar de la compatibilidad de los servidores DNS de Windows con la reutilización de conexiones y las funciones de canalización de consultas para «pasar de contrabando» una consulta de DNS. dentro de una carga útil de solicitud HTTP a un servidor DNS de destino al visitar un sitio web bajo su control.

Además, el error se puede explotar aún más para filtrar direcciones de memoria al corromper los metadatos de un registro de recursos de DNS e incluso lograr capacidades de escribir qué y dónde, lo que permite que un adversario secuestre el flujo de ejecución y haga que ejecute instrucciones no deseadas.

Sorprendentemente, los clientes DNS («dnsapi.dll») no son susceptibles al mismo error, lo que lleva a los investigadores a sospechar que «Microsoft administra dos bases de código completamente diferentes para el servidor DNS y el cliente DNS, y no sincroniza los parches de errores entre ellos. . «

Dada la gravedad de la vulnerabilidad y las altas posibilidades de explotación activa, se recomienda que los usuarios parcheen sus servidores DNS de Windows afectados para mitigar el riesgo.

Como solución temporal, la longitud máxima de un mensaje DNS (sobre TCP) se puede establecer en «0xFF00» para eliminar las posibilidades de un desbordamiento del búfer:

registro agregar «HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services DNS Parameters» / v «TcpReceivePacketSize» / t REG_DWORD / d 0xFF00 / f

DNS de parada neta && DNS de inicio neto

«Una violación del servidor DNS es algo muy serio. La mayoría de las veces, coloca al atacante a solo una pulgada de violar toda la organización. Solo se han lanzado un puñado de estos tipos de vulnerabilidad», dijo Omri Herscovici de Check Point a The Hacker. Noticias.

«Cada organización, grande o pequeña, que utiliza la infraestructura de Microsoft está expuesta a un gran riesgo de seguridad si no se repara. El riesgo sería una violación total de toda la red corporativa».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática