Vulnerabilidad RCE CRÍTICA que afecta a Servidores Windows desde hace 17 años

La falla de ejecución remota de código de 17 años (CVE-2020-1350), denominada ‘SigRed’ por Check Point, podría permitir que un atacante remoto no autenticado pueda ejecutar código arbitrario y llegue a obtener privilegios de administrador de dominio sobre servidores específicos y tome el control completo de la infraestructura de TI de una organización .

La vulnerabilidad existe en los servidores DNS Windows cuando no pueden manejar correctamente las solicitudes. Este problema resulta de una falla en la implementación del rol del servidor DNS de Microsoft y afecta a todas las versiones de Windows Server. Los servidores DNS que no son de Microsoft no se ven afectados.

Microsoft lanzó una actualización para el CVE-2020-1350, que está clasificado como una vulnerabilidad «wormable» y tiene un puntaje base de CVSS de 10.0. La actualización corrige la vulnerabilidad al modificar la forma en que los servidores DNS de Windows manejan las solicitudes.

Las vulnerabilidades «wormable» tienen el potencial de propagarse a través de malware entre computadoras vulnerables sin la interacción del usuario. Windows DNS Server es un componente de red central. Si bien actualmente no se sabe que esta vulnerabilidad se use en ataques activos, es esencial que los clientes apliquen las actualizaciones de Windows para abordar esta vulnerabilidad lo antes posible.

Si aplicar la actualización rápidamente no es práctico, hay disponible una solución alternativa basada en el registro que no requiere reiniciar el servidor. La actualización y la solución se detallan en la publicación del CVE-2020-1350 de Microsoft.

Para más información:

  • https://thehackernews.com/2020/07/windows-dns-server-hacking.html?m=1#click=https://t.co/Qoode1dizp
  • https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
  • https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/
  • https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability