CVE-2020-1350: Vulnerabilidad en servidores DNS de Windows

Microsoft ha informado de la vulnerabilidad CVE-2020-1350 en el servidor DNS de Windows. La vulnerabilidad obtuvo 10 puntos en la escala CVSS, lo que significa que es crítica, sin embargo, los ciberdelincuentes pueden explotarlo solo si el sistema se ejecuta en modo de servidor DNS. En otras palabras, la cantidad de computadoras potencialmente vulnerables es […]

Microsoft ha informado de la vulnerabilidad CVE-2020-1350 en el servidor DNS de Windows. La vulnerabilidad obtuvo 10 puntos en la escala CVSS, lo que significa que es crítica, sin embargo, los ciberdelincuentes pueden explotarlo solo si el sistema se ejecuta en modo de servidor DNS.

En otras palabras, la cantidad de computadoras potencialmente vulnerables es relativamente pequeña. Además, la compañía ya ha lanzado parches y una solución alternativa.

¿Cuál es la vulnerabilidad y cómo es peligrosa?

CVE-2020-1350 permite que un malhechor fuerce a los servidores DNS que ejecutan Windows Server al ejecutar código malicioso de forma remota. En otras palabras, la vulnerabilidad pertenece a la clase RCE. Para explotar CVE-2020-1350, uno solo tiene que enviar una solicitud especialmente generada al servidor DNS.

El código de terceros se ejecuta en el contexto de la cuenta LocalSystem. Esta cuenta tiene amplios privilegios en la computadora local y actúa como una computadora en la red. Además, el subsistema de seguridad no reconoce la cuenta LocalSystem. Según Microsoft, el principal peligro de la vulnerabilidad es que puede usarse para propagar una amenaza a través de la red local; es decir, se clasifica como wormable.

¿Quién está en la zona de riesgo CVE-2020-1350?

Todas las versiones de Windows Server son vulnerables, pero solo si se ejecutan en modo de servidor DNS. Si la empresa u organización no tiene un servidor DNS, o usa un servidor DNS basado en un sistema operativo diferente, no tiene nada de qué preocuparse.

Check Point Research descubrió la vulnerabilidad y aún no existe información pública sobre cómo explotarla. Además, actualmente no hay evidencia de que CVE-2020-1350 haya sido explotado por algún ciberdelincuente.

Sin embargo, es muy probable que tan pronto como Microsoft recomendó actualizar el sistema, los ciberdelincuentes comenzaron a analizar detenidamente los servidores DNS vulnerables y los parches liberados para descubrir cómo aprovechar la vulnerabilidad. 

¿Qué hacer?

La mejor acción es instalar el parche de Microsoft, que modifica el método de manejo de las solicitudes de los servidores DNS. El parche está disponible para Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server versión 1903, Windows Server versión 1909 y Windows Server versión 2004. Puede descargarse directamente desde la página de Microsoft.

Sin embargo, algunas grandes empresas tienen reglas internas y una rutina establecida para las actualizaciones de software, y es posible que sus administradores de sistemas no puedan instalar el parche de inmediato. Para evitar que los servidores DNS se vean comprometidos en tales casos, la compañía también propuso una solución alternativa basada en el registro que no requiere reiniciar el servidor. La actualización y la solución se detallan en  CVE-2020-1350 .