El peligroso fallo de Windows que pod¨ªa haber iniciado una Ciber-pandemia

Hoy d¨ªa, si les pones las cosas dif¨ªciles a los cibercriminales, estos tardar¨¢n m¨¢s en poder hacer el da?o online que hacen, ya sea a empresas o a nivel de usuarios. Pero si en vez de eso pasas por alto un fallo cr¨ªtico durante 17 a?os, entonces es como darles las llaves de casa y decirles ¡°pasen, por favor¡°. Esto es lo que le ha pasado a Microsoft, que ¨²ltimamente no gana (ni ganamos) para sustos.

El servidor DNS de Windows

?Qu¨¦ pasar¨ªa si un hacker tuviese no el control de tu correo electr¨®nico, sino directamente de toda la red de la organizaci¨®n, compa?¨ªa o multinacional para la que trabajas? Imagina que puede entrar en la red, interceptando y manipulando los correos electr¨®nicos de los usuarios y el tr¨¢fico de la red, haciendo que los servicios no est¨¦n disponibles, obteniendo las credenciales de los usuarios y m¨¢s. En efecto, podr¨ªan tomar el control total de esa empresa.

Los investigadores de Check Point, expertos en ciberseguridad y en ciberdelitos, descubrieron recientemente una vulnerabilidad cr¨ªtica que permitir¨ªa a un atacante hacer exactamente esto en el servidor DNS de Windows, un componente esencial de cualquier entorno de red de Windows. Una vulnerabilidad tan peligrosa que ha provocado una respuesta inmediata de Microsoft sobre el asunto: SigRed.

El DNS es parte de la infraestructura global de Internet que traduce los nombres familiares de los sitios web que todos usamos, en las cadenas de n¨²meros que los ordenadores y sistemas necesitan para encontrar ese sitio web, o enviar un correo electr¨®nico. Es la "libreta de direcciones" de Internet. Cuando tienes un nombre de dominio, por ejemplo, www.checkpoint.com, controlas qu¨¦ n¨²mero resuelve ese nombre a trav¨¦s de un "registro DNS".

Secuestrar el DNS para obtener control

?Pero qu¨¦ pasa si alguien es capaz de manipular los registros DNS que utiliza la red de su organizaci¨®n, para cambiar las direcciones a las que se traduce el nombre de un sitio web? Entonces se convierte en un problema de seguridad cr¨ªtico, como el ejemplo mencionado anteriormente, de alguien que intercepta y estudia todo tu correo o, en este caso, de una compa?¨ªa.

Para poner de relieve lo peligrosa que puede ser la manipulaci¨®n del DNS, en 2019 el Departamento de Seguridad Nacional de los Estados Unidos emiti¨® una rara directiva de emergencia que ordenaba a todas las agencias civiles federales de los Estados Unidos que aseguraran las credenciales de sus registros de dominio de Internet, en respuesta a una campa?a internacional de secuestro del Sistema de Nombres de Dominio (DNS).

Los autores de la campa?a pudieron robar el correo electr¨®nico y otras credenciales de acceso de varias entidades gubernamentales y del sector privado de Oriente Medio secuestrando los servidores DNS de esos objetivos, de modo que todo el tr¨¢fico de correo electr¨®nico y de VPN se redirigi¨® a las direcciones de Internet controladas por los atacantes.

SigRed: Una ciber-pandemia

La vulnerabilidad que Check Point descubri¨® es tan grave que ¡°expone a todas las organizaciones que utilizan las versiones 2003 a 2019 de Windows Server a exactamente los mismos riesgos: si se explotara, dar¨ªa a un hacker derechos de administrador de dominio sobre el servidor, y comprometer¨ªa toda la infraestructura corporativa¡±.

El fallo radica en la forma en que el servidor DNS de Windows analiza una consulta DNS entrante, y en la forma en que analiza una respuesta a una consulta DNS reenviada. Si se desencadena por una consulta DNS maliciosa, esto provoca ¡°un desbordamiento de b¨²fer basado en la acumulaci¨®n, permitiendo al hacker tomar el control del servidor¡±.

Para aumentar la gravedad del fallo, Microsoft lo describi¨® como "wormable", lo que significa que "un solo exploit puede iniciar una reacci¨®n en cadena que permite que los ataques se propaguen de una m¨¢quina vulnerable a otra sin necesidad de ninguna interacci¨®n humana". Como la seguridad del DNS no es algo que muchas organizaciones monitoreen o tengan controles estrictos, esto significa que una sola m¨¢quina comprometida podr¨ªa ser un "super propagador", permitiendo que el ataque se extienda a trav¨¦s de la red de una organizaci¨®n a los pocos minutos del primer exploit.

Un fallo ya corregido

Tras compilar el informe, Check Point informo de los resultados de su investigaci¨®n a Microsoft el pasado 19 de mayo, y ¡°ellos respondieron r¨¢pidamente, creando la protecci¨®n Microsoft Windows DNS Server Remote Code Execution (CVE-2020-1350)¡±. El parche est¨¢ disponible desde ayer, martes 14 de julio. Seg¨²n Check Point ¡°Recomendamos encarecidamente a los usuarios que parcheen sus servidores DNS de Windows afectados para evitar la explotaci¨®n de esta vulnerabilidad¡±.

¡°Creemos que la probabilidad de que esta vulnerabilidad sea explotada es alta, ya que internamente encontramos todas las caracter¨ªsticas necesarias para explotar este fallo, lo que significa que un hacker determinado podr¨ªa tambi¨¦n encontrar los mismos recursos. Adem¨¢s, algunos proveedores de servicios de Internet (ISP) pueden incluso haber configurado sus servidores p¨²blicos de DNS como WinDNS¡±.