Una vulnerabilidad crítica en el servidor DNS de Windows SIGRed tiene un exploit público

Hace unos meses apareció una vulnerabilidad que afectaba al servidor DNS de Windows SIGRed. Un fallo muy antiguo que afecta a todas las versiones de Windows Server 2003 a 2019. Además, hay que tener en cuenta que recibió la calificación de gravedad máxima de 10 sobre 10. Ahora han creado una prueba de concepto que han hecho pública y que permite explotar esta vulnerabilidad crítica de ejecución de código remoto.

Prueba de concepto contra un fallo en el servidor DNS de Windows SIGRed

Hay que tener en cuenta que esta vulnerabilidad, registrada como CVE-2020-1350, ya fue parcheada por Microsoft. Además dieron una solución alternativa basada en el registro para ayudar a proteger los servidores Windows afectados por este fallo. Sin embargo, como suele ocurrir en muchas vulnerabilidades similares, son muchos los equipos que siguen sin estar actualizados correctamente.

Para que nos pongamos en situación, la vulnerabilidad que afecta al servidor DNS de Windows SIGRed se sitúa en la misma categoría que el error BlueKeep o EternalBlue, que afectaban a RDP y SMB, respectivamente.

Ahora, la investigadora de seguridad informática Valentina Palmiotti, de Grapl, ha compartido la prueba de concepto y también un artículo con todos los detalles sobre los métodos utilizados por el exploit. Según indica, si se explota adecuadamente, los atacantes pueden ejecutar código de forma remota en el sistema vulnerable y obtener derechos de administrador de dominio, comprometiendo efectivamente toda la infraestructura corporativa.

Este exploit lo han probado con éxito en versiones de 64 bits sin parches de Windows Server 2019, 2016, 2012R2 y 2012. Han mostrado un vídeo que podemos ver en YouTube con la demostración de cómo funciona.

Vulnerabilidades de software en 2020

Solucionar esta vulnerabilidad es muy importante

Como ocurre con cualquier vulnerabilidad de seguridad similar, resolver este problema es muy importante. Dos días después de que Microsoft solucionó el error, CISA ordenó a las agencias federales que solucionaran el fallo de SIGRed en un plazo de 24 horas. También la NSA emitió un aviso instando a los administradores a aplicar el parche CVE-2020-1350 a todos los servidores Windows de inmediato.

Desde RedesZone siempre recomendamos mantener los equipos actualizados. Son muchas las vulnerabilidades que pueden surgir y que comprometen la seguridad de los sistemas. Estos fallos pueden ser explotados por terceros para robar información o permitir la entrada de malware.

El problema es que muchos equipos siguen sin corregir el problema. Es algo que ocurre con muchas vulnerabilidades que aparecen en nuestros equipos y que pueden ser la entrada de amenazas importantes. De ahí que siempre debamos tener todos los parches y actualizaciones instalados, sin importar el tipo de sistema operativo o dispositivo que estemos utilizando.

En este caso se trata de un exploit que han creado para el fallo en el servidor DNS de Windows SIGRed, por lo que afecta a Windows Server. Concretamente puede poner en riesgo todas las versiones desde 2003 hasta 2019. Esto hace que todos los usuarios que cuenten con cualquiera de las versiones comprendidas en esa fecha deban implantar de inmediato los parches de seguridad y corregir el problema.