Vulnerabilidad en Windows Deployment Services permite secuestro de servidores

Aryeh Goretsky: La seguridad de Windows 10 es “muy prometedora”

Un error de implementación de un protocolo parece ser la causa de esta falla

Especialistas en seguridad en redes publicaron recientemente un informe en el que revelaron detalles técnicos sobre una vulnerabilidad que permitía el secuestro de servidores y el despliegue de versiones de Windows con backdoors instalados en Windows Deployment Services.

La vulnerabilidad afectaría a Windows Server 2008 SP2 y versiones posteriores; además impacta el componente de Windows Deployment Services, incluido en esos sistemas, mencionan los expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética.

Windows Deployment Services (WDS) es lo que los administradores de sistemas empresariales usan para la implementación de los sistemas operativos Windows en un conjunto de máquinas desde una ubicación central, o sea, un sistema operativo Windows Server donde se ejecute WDS.

Esto es posible ejecutando un Programa de Arranque de Red (Network Boot Program), que envía mensajes previos al arranque del sistema hacia el entorno previo a la ejecución de las estaciones de trabajo locales, mencionan los expertos en seguridad en redes.  

La interacción entre el servidor y las estaciones de trabajo locales se realizan mediante el protocolo TFTP, una versión anterior del protocolo FTP.

Informes posteriores de especialistas en ciberseguridad revelaron anteriores investigaciones sobre la forma en la que estos protocolos son implementados en WDS. En estos reportes se revela la principal causa de la vulnerabilidad que Microsoft corrigió a finales del año 2018.

Estos reportes afirman que era posible generar paquetes mal formados para desencadenar la ejecución de código malicioso en implementaciones de Windows Server. “No se trataba de un problema con el protocolo TFTP, sino de una mala implementación”, comentaron los investigadores.

Por lo tanto, un atacante local podría retransmitir los paquetes TFTP mal formados para tomar control de la implementación de Windows Server. En el informe se menciona que la vulnerabilidad también es explotable desde fuera del servidor, aunque lo normal es el uso de una LAN.

En caso de que los hackers pudieran acceder al servidor podrían tomar completo control de una red local; además podrían desplegar versiones con backdoors de un sistema Windows. Hasta el momento, ni los investigadores ni Microsoft han reportado algún caso de explotación de esta vulnerabilidad en ambientes reales, aunque esto podría cambiar en el futuro.

Se recomienda a los usuarios de implementaciones de Windows Server instalar el paquete de actualizaciones correspondiente a noviembre de 2018 en caso de no haberlo hecho aún, pues no existen soluciones alternativas para mitigar el riesgo que representa esta vulnerabilidad.

(Visited 215, 1 times)