Microsoft parches Wormable RCE falla en DNS de Windows …


Las actualizaciones de seguridad de Patch Tuesday abordan una vulnerabilidad crítica en los servidores DNS de Home windows, que los investigadores creen que es possible que se explote.

Microsoft ha parcheado hoy una vulnerabilidad crítica y ejecutable de ejecución remota de código (RCE) en el Servidor DNS de Home windows que afecta a las versiones de Windows Server 2003 a 2019. La probabilidad de explotación es alta, según los investigadores de Examine Point que encontraron esta falla de 17 años. .

El servidor del sistema de nombres de dominio de Home windows, la implementación de Microsoft de los servidores DNS, es un componente central de un entorno de dominio de Windows. CVE-2020-1350, que tiene un puntaje foundation de CVSS de 10, existe en los servidores DNS de Home windows cuando no pueden manejar adecuadamente las solicitudes. Un atacante que lo explota con éxito podría ejecutar código arbitrario en el contexto de la cuenta del sistema community.

La vulnerabilidad es problemática, lo que significa que tiene el potencial de propagarse entre servidores DNS vulnerables sin interacción del usuario. Si bien no hay evidencia de que la falla se esté utilizando en ataques activos, a los expertos les preocupa que sea así. Microsoft lo ha clasificado como 1 o «explotación más possible».

Un atacante podría aprovechar este mistake enviando solicitudes maliciosas a un servidor DNS de Home windows afectado. Debido a que el servicio se ejecuta con privilegios elevados, la explotación exitosa podría otorgarle a un atacante derechos de administrador de dominio y amenazar a toda la purple comercial, dice el equipo de Check out Position reporte completo en el error.

«El atacante necesitaría un acceso limitado (débil) a la organización, ya sea por Wi-Fi, malware que se ejecuta en un punto closing o incluso un usuario que haga clic en un enlace malicioso», dice Omri Herscovici, quien dirige el equipo de investigación de vulnerabilidades de Verify Stage. «El atacante podría aprovechar la vulnerabilidad y obtener el handle sobre el servidor DNS de Home windows». A partir de ahí, podrían acceder a todos los archivos, recursos compartidos de purple y correos electrónicos de los empleados dentro de la organización, agrega.

«El DNS es obviamente una gran parte de la infraestructura crítica de una organización, y generalmente reside en un controlador de dominio», dice Brian Gorenc, director senior de investigación de vulnerabilidad en Trend Micro y jefe de su Iniciativa de Día Cero. «Si un atacante puede comprometer el controlador de dominio, esencialmente es dueño de todo su dominio».

La popularidad de Windows DNS Server impulsa la preocupación. Home windows DNS Server es una plataforma común que a menudo se ejecuta en varias máquinas altamente sensibles. Puede haber múltiples instancias del Servidor DNS de Home windows en cualquier organización, todo lo cual podría ser una entrada potencial para un atacante.

Parche de Microsoft soluciona el error cambiando la forma en que los servidores DNS de Windows manejan las solicitudes. También ofrece la solución alternativa de una edición de registro, que limita el tamaño de un mensaje DNS (a través de TCP) a 0xFF00. Debido a que un ataque requiere grandes paquetes DNS, esto debería evitar la explotación.

Una mirada más cercana a los problemas de parches
Los profesionales de seguridad instan a las organizaciones a que corrijan esta falla de inmediato.

«Debe darle a su proveedor todas las oportunidades posibles para corregir los errores que conoce», dice el Dr. Paul Vixie, presidente, CEO y cofundador de Farsight Stability. «Si hay un parche, necesitas una razón insoportablemente buena para no aplicarlo de inmediato».

Esto es especialmente relevante para las organizaciones con una foundation instalada totalmente en Home windows, que ejecutan Home windows en sus escritorios y servidores, incluidos los servidores de archivos y los servidores DNS. «Para esas tiendas, esto es un problema», continúa. Muchas botnets comienzan así: al infectar algunas máquinas que luego infectan a otras y generan un crecimiento exponencial. «El cielo es el límite» en cuanto a las cosas malas que pueden suceder si una vulnerabilidad como esta se explota con éxito, agrega.

Vixie se preocupa por los sistemas desatendidos que pueden no recibir los parches que necesitan. Estos sistemas suelen tener una de dos limitaciones estructurales. Por un lado, pueden existir en una organización altamente regulada, como los sectores médico, de handle industrial, militar o de aplicación de la ley. «No pueden simplemente decir, &#39oye, hay un problema, vamos a solucionarlo&#39», dice Vixie. «Tienen que hacer un plan de cómo finalmente lo lograrán». Como resultado, los sistemas no se actualizarán.

Algunas empresas pueden no estar tan reguladas, pero simplemente carecen de la supervisión para saber cuándo deben parchearse los sistemas. Como resultado, se dejan desatendidos y solo cuando están infectados alguien se dará cuenta de que están desactualizados. En la medida en que esto sea problemático y un peligro para la economía international, explica, las personas que detectan estos sistemas tienen un extremo de la transacción.

«Estoy seguro de que muchos sistemas se parcharán de inmediato, solo estoy preocupado por los que no lo serán», dice Vixie. Aconseja a las organizaciones que investiguen su TI en la sombra y realicen una auditoría de los sistemas que pueden haber olvidado. El daño genuine de esta vulnerabilidad ocurrirá a largo plazo y afectará a los sistemas descuidados que no se han parcheado, espera.

Parche martes correcciones también vale la pena señalar
CVE-2020-1350 es uno de los 123 CVE parcheados por Microsoft como parte de su lanzamiento mensual Patch Tuesday. Como ZDI de Trend Micro Señala, esto marca cinco meses consecutivos de más de 110 parches lanzados y lleva el complete de 2020 a 742, no muy lejos de los 851 CVE fijados en todo 2019.

Dieciocho de las vulnerabilidades parcheadas este mes fueron críticas y, al igual que el mes pasado, muchas de ellas fueron fallas de ejecución remota de código. CVE-2020-1147, por ejemplo, es una vulnerabilidad RCE en .Web Framework, Microsoft SharePoint y Visible Studio que existe cuando el software program no puede verificar el marcado de origen de la entrada del archivo XML. Un atacante que explotara este mistake podría ejecutar código arbitrario en el contexto del proceso responsable de la deserialización del contenido XML.

Otro defecto de RCE (CVE-2020-1349) existe en Microsoft Outlook cuando no puede manejar correctamente los objetos en la memoria. Un atacante exitoso podría usar un archivo especialmente diseñado para realizar acciones en el contexto de seguridad del usuario. Para hacer esto, podrían enviar el archivo por correo electrónico y convencer a su víctima para que lo abra alternativamente, podrían alojar un sitio world wide web que contenga el archivo especialmente diseñado. Microsoft señala que la vulnerabilidad puede explotarse si una víctima ve el archivo a través del Panel de vista previa.

Richard Melick, gerente técnico remarkable de productos de Automox, señala CVE-2020-1349, así como CVE-2020-1410, CVE-2020-1374y CVE-2020-1436 como vulnerabilidades críticas de RCE en servicios como Skype, Office environment y Distant Desktop Customer que podrían brindar a los atacantes acceso a puntos finales objetivo, así como la capacidad de instalar nuevos programas, modificar datos o crear cuentas de usuario.

«Un ataque exitoso con cualquiera de estas vulnerabilidades depende de que una víctima se conecte a un servidor malicioso o acceda a una página world-wide-web explotada, reciba un archivo malicioso por correo electrónico, chat o intercambio de archivos, o incluso haga clic en el enlace incorrecto en un correo electrónico», dice Melick .

Contenido relacionado:

Regístrese ahora para el Black Hat United states of america totalmente digital de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio world-wide-web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse

Kelly Sheridan es la Editora de personalized de Dim Looking through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente informó para InformationWeek, donde cubrió Microsoft, y Insurance policy & Know-how, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia authentic