A principios de este mes, Google hizo públicas una serie de vulnerabilidades en el software DNSmasq, servidor DNS y DHCP muy utilizado en la mayoría de los sistemas Linux. Casualidad o no, hace algunas horas, se ha dado a conocer una vulnerabilidad también relacionada con los DNS en Windows, una vulnerabilidad bastante grave que puede permitir a un pirata informático ejecutar código remoto con el máximo nivel de privilegios en los sistemas afectados.
Hace algunas horas, Microsoft daba a conocer un nuevo fallo de seguridad descubierto por un investigador de seguridad de la empresa BishopFox para su sistema operativo, un fallo bastante grave que podía permitir a piratas informáticos ejecutar código remoto en el sistema con el máximo nivel de privilegios en el sistema. Este fallo de seguridad se encuentra en la librería DNSAPI.dll y afecta a todas las versiones de Windows 8, 8.1 y Windows 10.
Este fallo de seguridad ha sido registrado como CVE-2017-11779 y, a continuación, vamos a ver en detalle cómo funciona.
Una grave vulnerabilidad en Windows que puede permitir ejecutar código malicioso con permisos SYSTEM
Tal como ha explicado el experto de seguridad, un pirata informático podría enviar una respuesta DNS modificada de una forma especial de manera que la librería DNSAPI.dll del sistema operativo no fuera capaz de procesar correctamente dicha respuesta y abriera la puerta a la ejecución de código remoto.
Para poder explotar este fallo de seguridad, lo único que necesita el pirata informático es configurar un servidor DNS malicioso de manera que pueda tomar el control del tráfico DNS y suplantarlo por los paquetes maliciosos. Una vez que el servidor DNS malicioso está en funcionamiento, el atacante solo necesita que una aplicación con un elevado permiso en el sistema (es decir, prácticamente cualquier aplicación) haga una petición DNS para poder ejecutar el código remoto a través de la librería DNS de Windows.
Además, la librería DNSAPI.dll también se encarga de gestionar las peticiones DNS de distintos servicios base de Windows, por lo que no sería muy complicado tomar el control de estas peticiones DNS y devolver los paquetes maliciosos para ejecutar código con permisos SYSTEM en Windows, el máximo nivel de privilegios del sistema operativo.
Por si fuera poco, el servicio de caché DNS de Windows se reinicia solo cuando este servicio falla, por lo que los atacantes pueden tener intentos ilimitados para explotar esta vulnerabilidad.
Cómo protegernos de esta vulnerabilidad DNS en Windows
Este, y otros fallos de seguridad, han sido solucionados por Microsoft con los últimos parches de seguridad de Microsoft correspondientes a octubre de 2017, parches que debemos instalar lo antes posible para protegernos de todos estos fallos de seguridad y poder hacer un uso lo más seguro posible de nuestro sistema operativo.
Además, debemos tener en cuenta que para poder explotar este fallo el atacante debe situarse en un punto intermedio entre nuestro ordenador y los DNS legítimos, es decir, dentro de una red local. Fuera de la misma, al responder los DNS (como el de Google) a estas peticiones, los piratas informáticos no podrán hacer mucho. Eso sí, tanto en nuestra red local (si ha sido comprometida) como en bares o puntos de acceso públicos, estamos totalmente expuestos a esta amenaza, por lo que, si nos conectamos a estas redes debemos tener cuidado, o al menos haber actualizado ya nuestro Windows con los últimos parches de seguridad.
Fuente:https://www.redeszone.net/2017/10/11/fallo-rce-windows-dns/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad