Permitanme explicarles el problema, para que podamos hacernos una mejor idea.
Un servidor de DNS es el que se encarga de proveer el servicio de traducción de nombres dentro de un dominio de red. Y algunos han designado este servicio a cargo de servidores que a su vez tienen otros roles, como Controlador de dominio primario o secundario, o al de Internet. Así que no siempre se le verá solo. Mayor aun el peligro.
DNS es además parte de la infraestructura global del Internet mismo, y traduce los nombres de "familia" de páginas web que todos usamos, en las cadenas de números que las computadoras necesitan para encontrar ese sitio web o enviar un correo electrónico. Es la "libreta de direcciones" de Internet. Cuando tienes un nombre de dominio, por ejemplo, www.yostphotography.do , controlas a qué número se resuelve ese nombre a través de un "registro DNS".
Pero, ¿qué sucede si alguien puede alterar los registros DNS que usa la red de su organización para cambiar las direcciones a las que se traduce el nombre de un sitio web? Entonces se convierte en un problema de seguridad crítico, al igual que el ejemplo mencionado anteriormente, de alguien interceptando y estudiando todo su correo.
Para resaltar cuán peligroso puede ser un problema de seguridad de manipulación de DNS, en 2019 el Departamento de Seguridad Nacional de EE. UU. Emitió una directiva de emergencia que ordena a todas las agencias civiles federales de EE. UU. Asegurar las credenciales para sus registros de dominio de Internet, en respuesta a un Sistema de Nombres de Dominio internacional (DNS) campaña de secuestro. Los autores de la campaña pudieron robar correo electrónico y otras credenciales de inicio de sesión de una serie de entidades gubernamentales y del sector privado en Oriente Medio al secuestrar los servidores DNS para estos objetivos, de modo que todo el tráfico de correo electrónico y VPN se redirigió a direcciones de Internet controladas por los atacantes.
Imagine lo que podría suceder si alguien pudiera interceptar y leer cada parte de su correo sin su conocimiento, antes de reenviarlo: su nueva tarjeta bancaria, su licencia de conducir o pasaporte de reemplazo, cartas de su médico, formularios de solicitud y más. No es difícil entender qué podría aprender esa persona sobre usted y qué cosas perjudiciales podrían hacer al copiar o alterar su correo.
Ahora imagine que un pirata informático podría hacer lo mismo en la red de su organización, interceptando y manipulando los correos electrónicos y el tráfico de la red de los usuarios, haciendo que los servicios no estén disponibles, obteniendo las credenciales de los usuarios y más. En efecto, podrían tomar el control completo de su TI.
Los investigadores de Check Point descubrieron recientemente esta vulnerabilidad crítica que permitiría a un atacante hacer exactamente esto en Windows DNS Server, un componente esencial de cualquier entorno de red de Windows. Se descubrió que expone a todas las organizaciones que usan las versiones de Windows Server 2003 a 2019 a exactamente los mismos riesgos: si se explota, otorgaría a un hacker derechos de administrador de dominio sobre el servidor y comprometería toda la infraestructura corporativa.
La falla está en la forma en que el servidor DNS de Windows analiza una consulta DNS entrante y en la forma en que analiza una respuesta a una consulta DNS reenviada. Si se desencadena por una consulta DNS maliciosa (como se detalla en nuestro blog de investigación completo), desencadena un desbordamiento de búfer basado en el montón, lo que permite al hacker tomar el control del servidor.
Esta empresa lo reportó a Microsoft, quien rápidamente lo reconoció como una vulnerabilidad crítica (puntaje CVSS 10.0, que indica la mayor gravedad posible) y emitió un parche urgente para ello.
Recomendamos encarecidamente a los usuarios que apliquen el parche a sus versiones afectadas del Servidor DNS de Windows de 2003 a 2019 para evitar la explotación de esta vulnerabilidad.
Pueden acceder al Patch para Windows Server desde este sitio oficial:
OJO:
Si aplicar la actualización rápidamente no resulta práctico, hay disponible una solución alternativa basada en el registro que no requiere reiniciar el servidor. La detallamos más abajo:
Importante
Siga los pasos de esta sección cuidadosamente. Pueden producirse problemas graves si modifica incorrectamente el registro. Antes de modificarlo, haga una copia de seguridad del registro para la restauración en caso de que ocurran problemas.
Para evitar esta vulnerabilidad, realice el siguiente cambio en el registro para restringir el tamaño del paquete de respuesta DNS entrante TCP más grande que está permitido:
Subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\ParametersValue: TcpReceivePacketSizeType: DWORDValue data: 0xFF00
Notas
- El valor predeterminado (también máximo) Datos de valor = 0xFFFF.
- Los datos del valor recomendado = 0xFF00 (255 bytes menos que el máximo).
Debe reiniciar el Servicio DNS para que el cambio de registro surta efecto. Para hacer esto, ejecute el siguiente comando en un símbolo del sistema elevado:
net stop dns && net start dns
Después de implementar la solución alternativa, un servidor DNS de Windows no podrá resolver los nombres DNS de sus clientes si la respuesta DNS del servidor ascendente es mayor de 65,280 bytes.
Fuente: ELTECNIQUITO Press / Checkpoint / Microsoft
Comentarios