Lo que debe saber sobre el DNS de Windows …


Los expertos en DNS comparten sus pensamientos sobre la vulnerabilidad de los gusanos y explican por qué debería ser una alta prioridad para las empresas.

La semana pasada, Microsoft parcheó SIGRed, una vulnerabilidad crítica y transmisible en el Servidor DNS de Windows que afecta las versiones de Home windows Server 2013 a 2019. CVE-2020-1350, que tiene un puntaje base de CVSS de 10., debería ser una prioridad para cualquier entorno que ejecute Home windows Servidor DNS.

SIGRed fue el destacado entre 123 CVE que Microsoft arregló como parte de su lanzamiento mensual de Patch Tuesday. Los expertos en DNS dicen que una combinación de factores, que incluyen la facilidad de explotación, la gravedad de un ataque y el cambio en las técnicas de ataque, podrían hacer que esta vulnerabilidad sea peligrosa para las empresas que descuidan el parche. Es posible que las empresas no sepan que están expuestas hasta que sea demasiado tarde.

«Esta es una vulnerabilidad que es lo suficientemente grave como para dar acceso a alguien al host que realmente ejecuta el servidor DNS de Microsoft», dice Cricket Liu, arquitecto jefe de DNS en Infoblox. Este host es a menudo el controlador de dominio, dice. Si los atacantes obtienen acceso a un controlador de dominio y una organización objetivo tiene una extensa infraestructura DNS basada en Home windows DNS Server, podrían propagarse desde el host inicial a todos los controladores de dominio internos, explica Liu.

SIGRed fue nombrado por los registros SIG, que pueden usarse para desencadenar esta vulnerabilidad. Los atacantes tendrían que crear y publicar un registro SIG o RRSIG en un servidor DNS autorizado en Net. A partir de ahí, agrega, tendrían que hacer que el servidor DNS de una organización busque ese registro. Los registros SIG no se usan ampliamente Sin embargo, hay maneras de hacer esto. Los investigadores de Verify Issue quien descubrió SIGRed los atacantes encontrados simplemente podrían hacer que alguien visite una página internet para inducir al navegador a enviar una consulta DNS a un servidor DNS cercano.

Los atacantes exitosos podrían lograr derechos de administrador de dominio y comprometer toda la infraestructura corporativa. Pueden lanzar una botnet que se ejecute a un nivel de privilegio alto dentro de una serie de empresas o utilizar su acceso como punto de inicio para actividades maliciosas adicionales. Y, como señalan los expertos en DNS, no necesitan ser sofisticados para lograr esto.

«Este es altamente explotable por personas que no necesitan un conocimiento técnico significativo», dice Rodney Joffe, vicepresidente senior y CTO de seguridad de Neustar, quien señala que el cambio a trabajar desde casa podría poner a las empresas en mayor riesgo a medida que los atacantes atacan a empleados remotos . Sin las protecciones de las oficinas corporativas, es más fácil y más atractivo para los adversarios entrar.

En lugar de apuntar a un entorno empresarial grande, los atacantes ahora pueden apuntar a miles de empleados que necesitan acceso privilegiado para hacer su trabajo. Solo necesitan acceder a sus redes domésticas y moverse lateralmente para encontrar a alguien trabajando en un dispositivo individual. Este cambio, combinado con la vulnerabilidad SIGRed fácilmente explotable, crea «una tormenta perfecta en línea», explica Joffe.

«Desde el punto de vista de la empresa, esta es una de las dos o tres cosas más importantes que deben repararse muy, muy rápidamente (desde) durante el año pasado», agrega.

Como señalan los investigadores de Look at Position, esta vulnerabilidad podría tener un impacto severo. Es común encontrar entornos de dominio de Home windows sin parches, especialmente controladores de dominio, y algunos proveedores de servicios de Online pueden haber configurado sus servidores DNS públicos como DNS de Windows.

Tengo que parcharlos a todos
Las grandes empresas no pueden darse el lujo de esperar hasta su próximo ciclo de parches para aplicar la solución para SIGRed. Ahora que se ha revelado, es possible que los atacantes estén buscando e identificando sistemas vulnerables en línea. Aplicar la solución puede no ser fácil para las empresas que ejecutan Windows DNS Server.

Los administradores de TI pueden enfrentar desafíos con computadoras que ejecutan servidores DNS y controladores de dominio en la misma máquina.

«Si tiene personas que ejecutan controladores de dominio, no desea interrumpir el servicio en esas cajas», dice Liu. «Las personas son muy sensibles a realizar cualquier tipo de mantenimiento en un controlador de dominio si pudiera afectar la funcionalidad de ese cuadro, ya que son muy importantes para permitir que las personas inicien sesión y accedan a los recursos dentro del dominio».

Un gran problema, especialmente en entornos heredados, es que estas máquinas a menudo se pasan por alto. Esta vulnerabilidad tiene 17 años, lo que significa que es probable que los dispositivos no hayan tenido problemas y no se actualicen porque los administradores no se dan cuenta de que están ejecutando Home windows DNS Server. Estas máquinas podrían ser la mayor amenaza si no se reparan rápidamente.

Joffe recomienda monitorear todo el tráfico interno para el tráfico DNS proveniente de máquinas Windows desconocidas, no identificadas e inesperadas. Además de las ofertas comerciales, hay una serie de servicios de código abierto y basados ​​en la comunidad que las empresas pueden usar para vigilar su tráfico. Cita a Spamhaus, Surbl, Shadowserver y Dissect Cyber ​​como ejemplos de iniciativas de código abierto.

«Descubra qué tipo de TI en la sombra, qué tipo de application de abandono, qué tipo de sistemas pueden llevar datos para su empresa, en su papel de contraparte de las personas fuera de su empresa», insta a Paul Vixie, presidente, CEO y cofundador de Farsight Safety. «Haga la auditoría, arregle, contrate a un consultor si es necesario, contrate un MSSP … encuentre a cada servidor de Windows haciendo algo en cada dirección IP de su red».

El daño de SIGRed no vendrá de inmediato, dice Vixie, sino a largo plazo debido a organizaciones que no hicieron su debida diligencia.

Considere una infraestructura heterogénea
SIGRed es un ejemplo de cómo las empresas pueden beneficiarse de una infraestructura DNS heterogénea, dice Liu. Si los servidores DNS de Microsoft reenvían a otro tipo de servidor DNS sin esta vulnerabilidad, un atacante no podría explotar SIGRed para comprometerlos.

«Si vas con un proveedor o tecnología en certain, puedes pagar el precio», dice. Liu cita el ataque Dyn DDoS de 2016 como un ejemplo de lo que podría suceder si una organización pone «todos sus huevos en una canasta». Muchas de las compañías que cayeron en el ataque de Dyn solo usaron a Dyn como su infraestructura de DNS, dice.

Liu dice que ejecutar una infraestructura heterogénea puede ser más oneroso en comparación con solo usar DNS de Windows. En su experiencia, continúa, las implementaciones de DNS de código abierto como Bind y Unbound tienden a tener más funciones de seguridad que Microsoft DNS Server, que históricamente se ejecutaba en WAN empresariales y carece de muchas funciones de seguridad de DNS avanzadas que las empresas pueden desear para un servidor que está directamente expuesto a Internet.

Contenido relacionado:

Regístrese ahora para el Black Hat Usa totalmente virtual de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Kelly Sheridan es la Editora de private de Darkish Looking at, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente informó para InformationWeek, donde cubrió Microsoft, y Insurance & Technological innovation, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia first