Hace algunas horas,
Microsoft daba a conocer un nuevo fallo de seguridad descubierto por un
investigador de seguridad de la empresa BishopFox para su sistema operativo, un
fallo bastante grave que podía permitir a piratas informáticos ejecutar código
remoto en el sistema con el máximo nivel de privilegios en el sistema.
Detalle de la vulnerabilidad
El fallo de seguridad se encuentra en la librería DNSAPI.dll y afecta a todas las
versiones de Windows 8, 8.1 y Windows 10.
Este fallo de seguridad
ha sido registrado como CVE-2017-11779 y, a continuación, vamos a ver en
detalle cómo funciona.
La grave vulnerabilidad permite ejecutar código malicioso con permisos SYSTEM
Tal como ha explicado
el experto de seguridad, un pirata informático podría enviar una respuesta DNS
modificada de una forma especial de manera que la librería DNSAPI.dll del
sistema operativo no fuera capaz de procesar correctamente dicha respuesta y
abriera la puerta a la ejecución de código remoto.
Para poder explotar
este fallo de seguridad, lo único que necesita el pirata informático es
configurar un servidor DNS malicioso de manera que pueda tomar el control del
tráfico DNS y suplantarlo por los paquetes maliciosos. Una vez que el servidor
DNS malicioso está en funcionamiento, el atacante solo necesita que una
aplicación con un elevado permiso en el sistema (es decir, prácticamente
cualquier aplicación) haga una petición DNS para poder ejecutar el código
remoto a través de la librería DNS de Windows.
Además, la librería
DNSAPI.dll también se encarga de gestionar las peticiones DNS de distintos
servicios base de Windows, por lo que no sería muy complicado tomar el control
de estas peticiones DNS y devolver los paquetes maliciosos para ejecutar código
con permisos SYSTEM en Windows, el máximo nivel de privilegios del sistema
operativo.
Por si fuera poco, el
servicio de caché DNS de Windows se reinicia solo cuando este servicio falla,
por lo que los atacantes pueden tener intentos ilimitados para explotar esta
vulnerabilidad.
Cómo protegernos de esta vulnerabilidad DNS
en Windows
Este, y otros fallos
de seguridad, han sido solucionados por Microsoft con los últimos parches de
seguridad de Microsoft correspondientes a octubre de 2017, parches que debemos
instalar lo antes posible para protegernos de todos estos fallos de seguridad y
poder hacer un uso lo más seguro posible de nuestro sistema operativo.
Además, debemos tener
en cuenta que para poder explotar este fallo el atacante debe situarse en un punto
intermedio entre nuestro ordenador y los DNS legítimos, es decir, dentro de una
red local. Fuera de la misma, al responder los DNS (como el de Google) a estas
peticiones, los piratas informáticos no podrán hacer mucho. Eso sí, tanto en
nuestra red local (si ha sido comprometida) como en bares o puntos de acceso
públicos, estamos totalmente expuestos a esta amenaza, por lo que, si nos
conectamos a estas redes debemos tener cuidado, o al menos haber actualizado ya
nuestro Windows con los últimos parches de seguridad.
Fuente:Microsoft