junio 20, 2021

Microsoft insta a parchear las vulnerabilidades de servidor wormable de alto impacto

Una foto de archivo del centro de datos. Vi con mis propios ojos algunas carcasas de disco EMC Symmetrix DMX-3 o DMX-4 a la derecha y algunas carcasas de disco EMC CX a la izquierda. Las matrices de discos como estas son un pilar de las SAN tradicionales de centros de datos corporativos.
Acercarse / / Una foto de archivo del centro de datos. Vi con mis propios ojos algunas carcasas de disco EMC Symmetrix DMX-3 o DMX-4 a la derecha y algunas carcasas de disco EMC CX a la izquierda. Las matrices de discos como estas son un pilar de las SAN tradicionales de centros de datos corporativos.

Microsoft aconseja urgentemente a los clientes de los servidores de Windows que corrijan una vulnerabilidad que permita a los atacantes tomar el control de redes enteras sin la interacción del usuario y, a partir de ahí, se propague rápidamente de una computadora a otra.

La vulnerabilidad, apodada SigRed por los investigadores que la descubrieron, reside en el DNS de Windows, un componente que responde automáticamente a las solicitudes de traducción de un dominio a la dirección IP que las computadoras deben ubicar en Internet. Al enviar consultas formadas con fines malintencionados, los atacantes pueden ejecutar código que adquiere derechos de administrador de dominio y, a partir de ahí, tomar el control de toda una red. La vulnerabilidad, que no se aplica a las versiones de cliente de Windows, está presente en las versiones de servidor de 2003 a 2019. SigRed se rastrea formalmente como CVE-2021-1350. Microsoft ha lanzado una solución como parte de la actualización de este mes.

Tanto Microsoft como los investigadores de Check Point, la compañía de seguridad que descubrió la vulnerabilidad, han afirmado que es transmisible, lo que significa que puede propagarse de una computadora a otra de manera similar a la de los dominios en caída. Sin la interacción del usuario, los gusanos tienen el potencial de propagarse rápidamente solo en virtud de su conexión y sin requerir que los usuarios finales hagan nada.

Cuando la vulnerabilidad básica de un gusano permite que se ejecute fácilmente código malicioso, los exploits pueden ser especialmente dañinos, como los ataques WannaCry y NotPetya de 2016 que cerraron las redes en todo el mundo y causaron daños por miles de millones de dólares. .

Los investigadores de Check Point dijeron que el esfuerzo necesario para explotar SigRed era parte de los medios de los hackers expertos. Aunque actualmente no hay evidencia de que la vulnerabilidad esté activamente explotada, Check Point dijo que es probable que cambie y, de lo contrario, los efectos destructivos serían altos.

En un análisis técnico, Sagi Tzadik, el investigador de la compañía que descubrió la vulnerabilidad en mayo y lo denunció en privado a Microsoft, escribió:

Creemos que la probabilidad de que esta vulnerabilidad sea explotada es alta, ya que internamente hemos encontrado todas las primitivas necesarias para explotar este error. Debido a limitaciones de tiempo, no hemos seguido buscando la explotación del error (que incluye encadenar todas las primitivas de explotación), pero creemos que un atacante en particular podrá explotarlo. La explotación exitosa de esta vulnerabilidad tendría un grave impacto, ya que a menudo es posible encontrar entornos de dominio de Windows sin parches, especialmente controladores de dominio. Además, algunos proveedores de servicios de Internet (ISP) pueden incluso haber configurado sus servidores DNS públicos como WinDNS.

En un breve informe aquí, los analistas de Microsoft acordaron que el desbordamiento del búfer basado en el montón subyacente era problemático. La compañía también calificó las posibilidades de explotación como «más probables». Muchos investigadores externos han estado de acuerdo.

«Si entiendo el artículo correctamente, llamarlo» wormable «es realmente un eufemismo», Vesselin Vladimirov Bontchev, un experto en seguridad que trabaja para el Laboratorio Nacional de Virología Informática en Bulgaria, escrito en Twitter. «Es adecuado para gusanos flash a la Slammer, que infectaron a toda la población de computadoras vulnerables en Internet en unos 10 minutos».

Bontchev no estuvo de acuerdo con el compañero investigador de seguridad Marcus Hutchins, quien Ella dijo él pensó que era más probable que los atacantes explotaran SigRed en un intento de realizar campañas de ransomware paralizantes. En ese escenario, los atacantes tomaron el control del servidor DNS de una red y luego lo usaron para enviar malware a todas las computadoras cliente conectadas. Slammer es una referencia a SQL Slammer, un gusano de 2003 que explotó dos vulnerabilidades en el servidor SQL de Microsoft. Dentro de los 10 minutos de la activación, SQL Slammer ha infectado más de 75,000 máquinas, algunas de las cuales pertenecen a Microsoft.

Las organizaciones que usan DNS de Windows deben evaluar cuidadosamente los riesgos e instalar el parche del martes lo antes posible. Para aquellos que no pueden aplicar los parches de inmediato, Microsoft ha ofrecido medidas provisionales que las personas pueden tomar en la escritura vinculada anteriormente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *