Microsoft insiste en corregir la vulnerabilidad del servidor de gusanos de impacto severo

Una fotografía de archivo del centro de datos.  Veo con mis ojos pequeños algunas bahías de disco EMC Symmetrix DMX-3 o DMX-4 sin sello a la derecha y algunas bahías de disco EMC CX sin sello a la izquierda.  Las matrices de discos como estas son uno de los pilares de las SAN de centros de datos empresariales tradicionales.

Microsoft está aconsejando urgentemente a los clientes de servidores Windows que solucionen una vulnerabilidad que permite a los atacantes tomar el control de redes enteras sin la interacción del usuario y, desde allí, propagarse rápidamente de una computadora a otra.

La vulnerabilidad, apodada SigRed por los investigadores que la descubrieron, reside en el DNS de Windows, un componente que responde automáticamente a las solicitudes para traducir un dominio a la dirección IP que las computadoras necesitan para encontrarlo en Internet. Al enviar consultas maliciosas, los atacantes pueden ejecutar código que obtiene derechos de administrador de dominio y, desde allí, tomar el control de toda una red. La vulnerabilidad, que no se aplica a las versiones cliente de Windows, está presente en las versiones de servidor de 2003 a 2019. SigRed se escanea formalmente como CVE-2020-1350. Microsoft emitió una corrección como parte de la actualización de este mes.

Tanto Microsoft como los investigadores de Check Point, la compañía de seguridad que descubrió la vulnerabilidad, dijeron que era desparasitable, lo que significa que podría propagarse de una computadora a otra de manera similar a las fichas de dominó que caen. Sin la necesidad de interacción del usuario, los gusanos informáticos tienen el potencial de propagarse rápidamente solo porque están conectados y sin requerir que los usuarios finales hagan nada.

Cuando la vulnerabilidad subyacente de un gusano permite que un código malicioso se ejecute fácilmente, los exploits pueden ser especialmente dañinos, como fue el caso de los ataques WannaCry y NotPetya de 2016 que cerraron redes en todo el mundo y causaron miles de millones de dólares en daños.

Los investigadores de Check Point dijeron que el esfuerzo necesario para explotar SigRed estaba al alcance de los piratas informáticos expertos. Si bien no hay evidencia de que la vulnerabilidad esté activamente bajo explotación en este momento, Check Point dijo que es probable que cambie y, si lo hace, los efectos destructivos serán altos.

Publicidad

En un análisis técnico, Sagi Tzadik, el investigador de la empresa que encontró la vulnerabilidad en mayo y la informó en privado a Microsoft, escribió:

Creemos que la probabilidad de que esta vulnerabilidad sea explotada es alta, ya que encontramos todas las primitivas necesarias para explotar este error internamente. Debido a limitaciones de tiempo, no continuamos explotando el error (que incluye el encadenamiento de todas las primitivas de explotación), pero creemos que un atacante en particular podrá explotarlo. La explotación exitosa de esta vulnerabilidad tendría un impacto severo, ya que a menudo puede encontrar entornos de dominio de Windows sin parches, especialmente controladores de dominio. Además, algunos proveedores de servicios de Internet (ISP) pueden incluso haber configurado sus servidores DNS públicos como WinDNS.

En un breve informe aquí, los analistas de Microsoft acordaron que el desbordamiento de búfer subyacente basado en el montón podría cambiarse. La empresa también calificó las posibilidades de explotación como «más probables». Muchos investigadores externos estuvieron de acuerdo.

«Si entendí el artículo correctamente, llamarlo ‘desparasitante’ es en realidad un eufemismo», dijo Vesselin Vladimirov Bontchev, un experto en seguridad que trabaja para el Laboratorio Nacional de Virología Computacional en Bulgaria, escribió en Twitter. «Es adecuado para gusanos flash a la Slammer, que infectaron a toda la población de computadoras vulnerables en Internet en aproximadamente 10 minutos».

Es adecuado para los gusanos Flash à la Slammer, que infectaron a toda la población de equipos vulnerables en Internet en unos 10 minutos.

– Vess (@VessOnSecurity) 14 de julio de 2020

Bontchev estaba en desacuerdo con el investigador de seguridad Marcus Hutchins, quien dijo pensaba que era más probable que los atacantes explotaran SigRed en un intento por detener la desactivación de las campañas de ransomware. En este escenario, los atacantes tomarían el control del servidor DNS de una red y lo usarían para enviar malware a todos los equipos cliente conectados. Slammer es una referencia a SQL Slammer, un gusano de 2003 que explotó dos vulnerabilidades en SQL Server de Microsoft. Diez minutos después de su activación, SQL Slammer infectó a más de 75.000 máquinas, algunas de las cuales pertenecen a Microsoft.

Las organizaciones que utilizan DNS de Windows deben evaluar cuidadosamente sus riesgos e instalar el parche del martes lo antes posible. Para aquellos que no pueden solucionarlo de inmediato, Microsoft ha ofrecido medidas provisionales que las personas pueden tomar en el artículo del enlace anterior.