Alertas de seguridad

Vulnerabilidad en el servidor DNS de Windows

Microsoft ha informado de la vulnerabilidad CVE-2020-1350 en el servidor DNS de Windows. La vulnerabilidad ha obtenido 10 puntos en la escala CVSS, lo que significa que es crítica. Los ciberdelincuentes solo pueden explotarla si el sistema se está ejecutando en el modo de servidor DNS.

La vulnerabilidad CVE-2020-1350 permite que un ciberdelincuente obligue a los servidores DNS con Windows Server a ejecutar código malicioso de forma remota. En otras palabras, la vulnerabilidad pertenece a la clase RCE. Para explotar CVE-2020-1350, solo hay que enviar una solicitud especialmente generada para el servidor DNS.

El código de terceros se ejecuta en el contexto de la cuenta LocalSystem. Esta cuenta presenta grandes privilegios sobre el ordenador local y actúa como un ordenador en la red. Además, el subsistema de seguridad no reconoce la cuenta LocalSystem. Según Microsoft, el principal peligro de la vulnerabilidad es que puede usarse para propagar una amenaza a través de la red local; por lo que se clasifica como wormable, porque podría desencadenar un ataque de gusano.


Recursos afectados

Las vulnerabilidades mencionadas afectan los siguientes productos:

  • Windows Server, versión 2004 (Server Core installation)
  • Windows Server, versión 1909 (Server Core installation)
  • Windows Server, versión 1903 (Server Core installation)
  • Windows Server, versión 1803 (Server Core Installation)
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for 32-bit Systems Service Pack 2

 
Detalle

A continuación, se relaciona el detalle de cada una de las vulnerabilidades asociadas:


CVE-2020-1350

Este problema resulta de una falla en la implementación del rol del servidor DNS de Microsoft y afecta a todas las versiones de Windows Server. Los servidores DNS que no son de Microsoft no se ven afectados.

Las vulnerabilidades “wormable” tienen el potencial de propagarse a través de malware entre computadoras vulnerables sin interacción del usuario. Windows DNS Server es un componente de red central. Si bien actualmente no se sabe que esta vulnerabilidad se use en ataques activos, es esencial que los clientes apliquen las actualizaciones de Windows para abordar esta vulnerabilidad lo antes posible.


Solución

Para evitar esta vulnerabilidad, realice el siguiente cambio de registro para restringir el tamaño del paquete de respuesta DNS entrante basado en TCP más grande permitido:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters

TcpReceivePacketSize

Value = 0xFF00

Nota: Debe reiniciar el Servicio DNS para que el cambio de registro surta efecto.

Valor por defecto (max) Value = 0xFFFF

Valor recomendado Value = 0xFF00 (255 bytes menos que el max)


Información importante sobre esta solución

Los paquetes de respuesta DNS basados ​​en TCP que exceden el valor recomendado se descartarán sin error, por lo que es posible que algunas consultas no sean respondidas. Esto podría resultar en una falla imprevista. Un servidor DNS solo se verá afectado negativamente por esta solución si recibe respuestas TCP válidas que son mayores de lo permitido en la mitigación anterior (más de 65,280 bytes). Es poco probable que el valor reducido afecte las implementaciones estándar o las consultas recursivas, pero un caso de uso no estándar puede estar presente en un entorno determinado.

Para determinar si la implementación del servidor se verá afectada negativamente por esta solución alternativa debe:

  • Habilitar el registro de diagnóstico y capturar un conjunto de muestra que sea representativo de su flujo comercial típico.
  • Revisar los archivos de registro para identificar la presencia de paquetes de respuesta TCP anormalmente grandes.