Estamos ciertamente acostumbrados a ver fallos de Windows solucionarse tras años sin resolverse. Ahora estamos viendo lo mismo; Windows está parcheando a nivel mundial (también en España) un problema de servidor DNS que afectaba a toda la infraestructura de Windows. Un grave fallo que llevaba en el código de Microsoft ya 17 años.
La vulnerabilidad, descubierta por un investigador de Check Point, permitía a los atacantes ejecutar código arbitrario contra objetivos y obtener el control de toda la infraestructura de los objetivos. Los atacantes podían interceptar e interferir en los correos electrónicos y en el tráfico de red de los usuarios, así como alterar los servicios y robar credenciales de usuarios.
¿Cómo? Explotando el servidor DNS de Windows, el protocolo que se encarga de hacer de "traductor" entre los nombres de las páginas web existentes y sus correspondientes direcciones IP.
Microsoft arregla un fallo grave
Esta vulnerabilidad podía ser desencadenada por una respuesta DNS de carácter malicios. Es decir, el problema explota el DNS de Windows para interceptar consultas y redirigirlas a otros sitios para robar datos y ejecutar código arbitrario. La vulnerabilidad, llamada SigRed, es generalizada y afecta a todas las versiones de Windows Server, según explica la propia Microsoft.
Concretamente se encuentra en las Extensiones de Seguridad del Sistema de Nombres de Dominio de Windows. Sin DNSSEC, es mucho más fácil para el atacante interceptar consultas DNS y redirigirlas a una web falsa para engañarnos y que ingresemos nuestra información personal.
Microsoft ha asignado a la vulnerabilidad CVE-2020-1350 la puntuación de riesgo más alta posible en el Sistema de puntuación de vulnerabilidades. Los defectos problemáticos pueden ser graves; los ataques que explotan esta vulnerabilidad pueden extenderse de ordenador a ordenador sin ninguna interacción humana, siendo similar al ransomware WannaCry que afectó a 300.000 ordenadores por el año 2017. De ahí que se considere "wormable".
No ha sido explotada
Microsoft, afortunadamente, asegura que ningún hacker ha explotado aún la vulnerabilidad. El problema, según Omri Herscovici, jefe de investigación de vulnerabilidades de Check Point, dijo en el medio Wired que el DNS puede explotarse, como hemos dicho, sin que el usuario interceda. Lo cual hace que expandir el control de ordenadores mediante esta vulnerabilidad sea "realmente fácil", según Omri.
Cualquier empresa que haya realizado cambios en sus redes para que los empleados puedan trabajar de forma remota podrían haberse "protegido" contra el virus. Check Point, no obstante, avisa que las empresas pequeñas podrían ser especialmente vulnerables frente a estos ataques.
El parche se ha lanzado fuera del Patch Tuesday, el parche de seguridad que suele lanzar Microsoft el primer martes de cada mes. Es importante que actualices tu ordenador o servidor, ya que como decimos es un fallo muy antiguo que puede estar afectándote ahora mismo. Descarga e instala la actualización desde Configuración.