Microsoft recomienda encarecidamente que se aborden las vulnerabilidades de servidor serias y vulnerables


  Una foto del centro de datos en stock. Puedo ver con mi pequeño ojo algunas bahías de disco duro EMC Symmetrix DMX-3 o DMX-4 a la derecha y algunas bahías de disco duro EMC CX a la izquierda. Las matrices de discos como esta son un pilar de las SAN tradicionales para los centros de datos empresariales.
Ampliar / Una foto de archivo de un centro de datos. Puedo ver con mi pequeño ojo algunas bahías de disco duro EMC Symmetrix DMX-3 o DMX-4 a la derecha y algunas bahías de disco duro EMC CX a la izquierda. Las matrices de discos como esta son un pilar de las SAN tradicionales para los centros de datos empresariales.

Microsoft recomienda encarecidamente a los clientes de Windows Server que aborden una vulnerabilidad que podría permitir que un atacante tome el control de redes enteras sin la interacción del usuario y se propague rápidamente desde allí desde una computadora.

La vulnerabilidad, que es causada por Los investigadores que lo descubrieron, conocido como SigRed, están en el DNS de Windows, un componente que responde automáticamente a las solicitudes de traducir un dominio a la dirección IP que las computadoras necesitan para encontrarlo en Internet. Al enviar consultas con formas maliciosas, los atacantes pueden ejecutar código que tiene privilegios de administrador de dominio y tomar el control de toda una red desde allí. La vulnerabilidad, que no se aplica a las versiones de cliente de Windows, estuvo presente en las versiones de servidor de 2003 a 2019. SigRed se sigue oficialmente como CVE-2020-1350. Microsoft lanzó una solución como parte de la actualización de este mes el martes.

Tanto Microsoft como los investigadores de Check Point, la compañía de seguridad que descubrió la vulnerabilidad, dijeron que es maliciosa, lo que significa que puede propagarse de una computadora a otra de una manera similar a la caída del dominó. Sin la interacción del usuario, los gusanos pueden propagarse rápidamente solo porque están conectados y sin que los usuarios finales tengan que hacer nada.

Si la vulnerabilidad subyacente de un gusano permite que el código malicioso se ejecute fácilmente, los exploits pueden ser particularmente dañinos, como fue el caso de los ataques WannaCry y NotPetya en 2016, que cerraron redes en todo el mundo y causaron daños. en miles de millones [19659004] Los investigadores de Check Point dijeron que el esfuerzo de usar SigRed estaba dentro del alcance de los piratas informáticos experimentados. Si bien no hay evidencia de que la vulnerabilidad se esté explotando actualmente activamente, Check Point dijo que es probable que esto cambie, y si lo hace, los efectos devastadores serían altos.

En un análisis técnico, Sagi Tzadik, el investigador de negocios que encontró la vulnerabilidad en mayo y lo denunció en privado a Microsoft, escribió:

Creemos que la probabilidad de que esta vulnerabilidad sea explotada es alta ya que Hemos encontrado internamente todos los elementos básicos necesarios para explotar este error. No buscamos la explotación del error (incluido el encadenamiento de todas las primitivas de explotación) debido a limitaciones de tiempo, pero creemos que un atacante determinado puede explotarlo. La explotación exitosa de esta vulnerabilidad tendría serias consecuencias porque a menudo existen entornos de dominio de Windows sin parches, particularmente controladores de dominio. Además, algunos proveedores de servicios de Internet (ISP) pueden incluso haber configurado sus servidores DNS públicos como WinDNS.

En una breve descripción aquí, los analistas de Microsoft estuvieron de acuerdo en que el desbordamiento del búfer basado en el montón subyacente era problemático. La compañía también calificó las posibilidades de explotación como "más probables". Muchos investigadores externos estuvieron de acuerdo.

"Si entendí el artículo correctamente, en realidad es un eufemismo llamarlo" wormable "", dijo Vesselin Vladimirov Bontchev, experto en seguridad que trabaja para el Laboratorio Nacional de Virología Informática en Bulgaria, escribió Twitter . "Es adecuado para gusanos flash de tipo slammer que infectaron a toda la población de computadoras vulnerables en Internet en unos 10 minutos".

Bontchev no estuvo de acuerdo con el investigador de seguridad Marcus Hutchins quien dijo Pensé que era más probable que los atacantes se aprovecharan de SigRed para ejecutar campañas de ransomware paralizantes. En este escenario, los atacantes toman el control del servidor DNS de una red y luego lo usan para propagar malware a todas las computadoras cliente conectadas. Slammer es una referencia a SQL Slammer, un gusano de 2003 que explotó dos vulnerabilidades en Microsoft SQL Server. A los 10 minutos de la activación, SQL Slammer infectó más de 75,000 computadoras, algunas de las cuales pertenecen a Microsoft.

Las empresas que usan DNS de Windows deberían considerar cuidadosamente los riesgos e instalar el parche del martes lo antes posible. Para aquellos que no pueden parchear de inmediato, Microsoft ha ofrecido una solución provisional que puede incluir los artículos vinculados anteriormente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *