Vulnerabilidad crítica en servidor DNS de Windows (CVE-2020-1350)

¡Comparte este artículo, elige tu plataforma!

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on tumblr
Share on telegram
Share on email

Acerca de la vulnerabilidad

 

La vulnerabilidad crítica de ejecución de código remoto en los servidores DNS Windows (CVE-2020-1350) se presenta cuando estos fallan al procesar correctamente solicitudes; es decir, para explotar dicha vulnerabilidad, un atacante podría enviar solicitudes maliciosas al servidor DNS con el fin de ejecutar comandos. Por otro lado, esta vulnerabilidad se considera como wormable, ya que podría esparcirse vía malware a otras computadoras vulnerables sin la interacción de un usuario.

 

Sistemas operativos afectados

 

Las versiones de Windows Server conocidas como vulnerables son de 2003 al 2019.

 

Mitigación de la vulnerabilidad

 

La solución efectiva para la mitigación de la vulnerabilidad es la actualización de software; sin embargo, existe un workaround que podría ser aplicado si no es posible actualizar, la cual consiste en agregar una llave de registro. Dichas soluciones deberán ser ejecutadas lo más pronto posible para evitar la explotación de la vulnerabilidad. 

 

Actualización de software:

A continuación, se presentan enlaces web con información la versión de software:

  • KB4565529 para Windows Server 2008 con SP2 de arquitectura de 32 y 64 bits 
  • KB4565539 para Windows Server 2008 R2 con SP1 de arquitectura de 32 y 64 bits 
  • KB4565535 para Windows Server 2012 de arquitectura de 32 y 64 bits 
  • KB4565540 para Windows Server 2012 R2
  • KB4565511 para Windows Server 2016
  • KB4558998 para Windows Server 2019

 

Workaround:

El workaround consiste en la modificación de un registro, y posteriormente el reinicio del servicio de DNS. Las líneas presentadas a continuación podrían ser ejecutadas en Windows PowerShell. 

$RegPath = «HKLM:\SYSTEM\CurrentControlSet\Services\DNS\Parameters»

New-ItemProperty -Path $RegPath -Name TcpReceivePacketSize -Value 0xFF00 -PropertyType DWORD

Restart-Service DNS

 

 

Para deshacer los cambios realizados en el workaround después de la actualización, se podrá realizar con la ejecución de las siguientes líneas en Windows PowerShell:

$RegPath = «HKLM:\SYSTEM\CurrentControlSet\Services\DNS\Parameters»

Remove-ItemProperty -Path $RegPath -Name TcpReceivePacketSize

Restart-Service DNS

 

 

 

Referencias:

BERKOUWER, S. (2020, July 15). Windows DNS Server Remote Code Execution Vulnerability (SIGred, Wormable, Critical, CVE-2020-1350). The DirTeam.Com / ActiveDir.Org Weblogs. https://dirteam.com/sander/2020/07/15/windows-dns-server-remote-code-execution-vulnerability-sigred-wormable-critical-cve-2020-1350/

Copyright © 2020, Gigadefense. All rights reserved