A principios de este mes, Google hizo públicas una serie de vulnerabilidades en el software DNSmasq, servidor DNS y DHCP muy utilizado en la mayoría de los sistemas Linux. Ahora se ha dado a conocer una vulnerabilidad también relacionada con los DNS en Windows, una vulnerabilidad bastante grave que puede permitir a un pirata informático ejecutar código remoto con el máximo nivel de privilegios en los sistemas afectados.

Hace algunas horas, Microsoft daba a conocer un nuevo fallo de seguridad descubierto por un investigador de seguridad de la empresa BishopFox para su sistema operativo, un fallo bastante grave que podía permitir a piratas informáticos ejecutar código remoto en el sistema con el máximo nivel de privilegios en el sistema. Este fallo de seguridad se encuentra en la librería DNSAPI.dll y afecta a todas las versiones de Windows 8, 8.1 y Windows 10.

 

Tal como ha explicado el experto de seguridad, un pirata informático podría enviar una respuesta DNS modificada de una forma especial de manera que la librería DNSAPI.dll del sistema operativo no fuera capaz de procesar correctamente dicha respuesta y abriera la puerta a la ejecución de código remoto.

Para poder explotar este fallo de seguridad, lo único que necesita el pirata informático es configurar un servidor DNS malicioso de manera que pueda tomar el control del tráfico DNS y suplantarlo por los paquetes maliciosos. Una vez que el servidor DNS malicioso está en funcionamiento, el atacante solo necesita que una aplicación con un elevado permiso en el sistema (es decir, prácticamente cualquier aplicación) haga una petición DNS para poder ejecutar el código remoto a través de la librería DNS de Windows.

Además, la librería DNSAPI.dll también se encarga de gestionar las peticiones DNS de distintos servicios base de Windows, por lo que no sería muy complicado tomar el control de estas peticiones DNS y devolver los paquetes maliciosos para ejecutar código con permisos SYSTEM en Windows, el máximo nivel de privilegios del sistema operativo.

Por si fuera poco, el servicio de caché DNS de Windows se reinicia solo cuando este servicio falla, por lo que los atacantes pueden tener intentos ilimitados para explotar esta vulnerabilidad.

Este, y otros fallos de seguridad, han sido solucionados por Microsoft con los últimos parches de seguridad de Microsoft correspondientes a octubre de 2017, parches que debemos instalar lo antes posible para protegernos de todos estos fallos de seguridad y poder hacer un uso lo más seguro posible de nuestro sistema operativo.

Además, debemos tener en cuenta que para poder explotar este fallo el atacante debe situarse en un punto intermedio entre nuestro ordenador y los DNS legítimos, es decir, dentro de una red local. Fuera de la misma, al responder los DNS (como el de Google) a estas peticiones, los piratas informáticos no podrán hacer mucho. Eso sí, tanto en nuestra red local (si ha sido comprometida) como en bares o puntos de acceso públicos, estamos totalmente expuestos a esta amenaza, por lo que, si nos conectamos a estas redes debemos tener cuidado, o al menos haber actualizado ya nuestro Windows con los últimos parches de seguridad.

 

 

 

Hacer Comentario

Su dirección de correo electrónico no será publicada.