El peligroso fallo de Windows que podía haber iniciado una Ciber-pandemia

Hoy día, si les pones las cosas difíciles a los cibercriminales, estos tardarán más en poder hacer el daño online que hacen, ya sea a empresas o a nivel de usuarios. Pero si en vez de eso pasas por alto un fallo crítico durante 17 años, entonces es como darles las llaves de casa y decirles “pasen, por favor“. Esto es lo que le ha pasado a Microsoft, que últimamente no gana (ni ganamos) para sustos.

El servidor DNS de Windows

¿Qué pasaría si un hacker tuviese no el control de tu correo electrónico, sino directamente de toda la red de la organización, compañía o multinacional para la que trabajas? Imagina que puede entrar en la red, interceptando y manipulando los correos electrónicos de los usuarios y el tráfico de la red, haciendo que los servicios no estén disponibles, obteniendo las credenciales de los usuarios y más. En efecto, podrían tomar el control total de esa empresa.

Los investigadores de Check Point, expertos en ciberseguridad y en ciberdelitos, descubrieron recientemente una vulnerabilidad crítica que permitiría a un atacante hacer exactamente esto en el servidor DNS de Windows, un componente esencial de cualquier entorno de red de Windows. Una vulnerabilidad tan peligrosa que ha provocado una respuesta inmediata de Microsoft sobre el asunto: SigRed.

El DNS es parte de la infraestructura global de Internet que traduce los nombres familiares de los sitios web que todos usamos, en las cadenas de números que los ordenadores y sistemas necesitan para encontrar ese sitio web, o enviar un correo electrónico. Es la "libreta de direcciones" de Internet. Cuando tienes un nombre de dominio, por ejemplo, www.checkpoint.com, controlas qué número resuelve ese nombre a través de un "registro DNS".

Secuestrar el DNS para obtener control

¿Pero qué pasa si alguien es capaz de manipular los registros DNS que utiliza la red de su organización, para cambiar las direcciones a las que se traduce el nombre de un sitio web? Entonces se convierte en un problema de seguridad crítico, como el ejemplo mencionado anteriormente, de alguien que intercepta y estudia todo tu correo o, en este caso, de una compañía.

Para poner de relieve lo peligrosa que puede ser la manipulación del DNS, en 2019 el Departamento de Seguridad Nacional de los Estados Unidos emitió una rara directiva de emergencia que ordenaba a todas las agencias civiles federales de los Estados Unidos que aseguraran las credenciales de sus registros de dominio de Internet, en respuesta a una campaña internacional de secuestro del Sistema de Nombres de Dominio (DNS).

Los autores de la campaña pudieron robar el correo electrónico y otras credenciales de acceso de varias entidades gubernamentales y del sector privado de Oriente Medio secuestrando los servidores DNS de esos objetivos, de modo que todo el tráfico de correo electrónico y de VPN se redirigió a las direcciones de Internet controladas por los atacantes.

SigRed: Una ciber-pandemia

La vulnerabilidad que Check Point descubrió es tan grave que “expone a todas las organizaciones que utilizan las versiones 2003 a 2019 de Windows Server a exactamente los mismos riesgos: si se explotara, daría a un hacker derechos de administrador de dominio sobre el servidor, y comprometería toda la infraestructura corporativa”.

El fallo radica en la forma en que el servidor DNS de Windows analiza una consulta DNS entrante, y en la forma en que analiza una respuesta a una consulta DNS reenviada. Si se desencadena por una consulta DNS maliciosa, esto provoca “un desbordamiento de búfer basado en la acumulación, permitiendo al hacker tomar el control del servidor”.

Para aumentar la gravedad del fallo, Microsoft lo describió como "wormable", lo que significa que "un solo exploit puede iniciar una reacción en cadena que permite que los ataques se propaguen de una máquina vulnerable a otra sin necesidad de ninguna interacción humana". Como la seguridad del DNS no es algo que muchas organizaciones monitoreen o tengan controles estrictos, esto significa que una sola máquina comprometida podría ser un "super propagador", permitiendo que el ataque se extienda a través de la red de una organización a los pocos minutos del primer exploit.

Un fallo ya corregido

Tras compilar el informe, Check Point informo de los resultados de su investigación a Microsoft el pasado 19 de mayo, y “ellos respondieron rápidamente, creando la protección Microsoft Windows DNS Server Remote Code Execution (CVE-2020-1350)”. El parche está disponible desde ayer, martes 14 de julio. Según Check Point “Recomendamos encarecidamente a los usuarios que parcheen sus servidores DNS de Windows afectados para evitar la explotación de esta vulnerabilidad”.

“Creemos que la probabilidad de que esta vulnerabilidad sea explotada es alta, ya que internamente encontramos todas las características necesarias para explotar este fallo, lo que significa que un hacker determinado podría también encontrar los mismos recursos. Además, algunos proveedores de servicios de Internet (ISP) pueden incluso haber configurado sus servidores públicos de DNS como WinDNS”.