Global Preloader
Vulnerabilidad
(11/Oct/2017) Un grave fallo en los DNS de Windows permite ejecutar código en tu PC

Un grave fallo en los DNS de Windows permite ejecutar código en tu PC

Google hizo públicas diversas vulnerabilidades en el software DNSmasq, servidor DNS y DHCP utilizado en la mayoría de los sistemas Linux. Y hace algunas horas, se ha dado a conocer una vulnerabilidad también relacionada con los DNS en Windows, una vulnerabilidad bastante grave que puede permitir a un atacante ejecutar código remoto con el máximo nivel de privilegios en los sistemas afectados.

De igual manera Microsoft daba a conocer un nuevo fallo de seguridad descubierto por un investigador de seguridad de la empresa BishopFox para su sistema operativo, un fallo bastante grave que podía permitir a los atacantes ejecutar código remoto en el sistema con el máximo nivel de privilegios en el sistema. Este fallo de seguridad se encuentra en la librería DNSAPI.dll y afecta a todas las versiones de Windows 8, 8.1 y Windows 10. Este fallo de seguridad ha sido registrado como CVE-2017-11779 y, a continuación, vamos a ver en detalle cómo funciona.

Un atacante podría enviar una respuesta DNS modificada de una forma especial de manera que la librería DNSAPI.dll del sistema operativo no fuera capaz de procesar correctamente dicha respuesta y abriera la puerta a la ejecución de código remoto.

Para poder explotar este fallo de seguridad, lo único que necesita el pirata informático es configurar un servidor DNS malicioso de manera que pueda tomar el control del tráfico DNS y suplantarlo por los paquetes maliciosos. Una vez que el servidor DNS malicioso está en funcionamiento, el atacante solo necesita que una aplicación con un elevado permiso en el sistema haga una petición DNS para poder ejecutar el código remoto a través de la librería DNS de Windows.

La librería DNSAPI.dll también se encarga de gestionar las peticiones DNS de distintos servicios base de Windows, por lo que no sería muy complicado tomar el control de estas peticiones DNS y devolver los paquetes maliciosos para ejecutar código con permisos SYSTEM en Windows, el máximo nivel de privilegios del sistema operativo.

El servicio de caché DNS de Windows se reinicia solo cuando este servicio falla, por lo que los atacantes pueden tener intentos ilimitados para explotar esta vulnerabilidad.

Cómo protegernos de esta vulnerabilidad DNS en Windows

Microsoft ha solucionado esta vulnerabilidad con los últimos parches de seguridad correspondientes a octubre de 2017, parches que debemos instalar lo antes posible para protegernos de todos estos fallos de seguridad y poder hacer un uso lo más seguro posible de nuestro sistema operativo.

Además, debemos tener en cuenta que para poder explotar este fallo el atacante debe situarse en un punto intermedio entre nuestro ordenador y los DNS legítimos, es decir, dentro de una red local. Fuera de la misma, al responder los DNS (como el de Google) a estas peticiones, los piratas informáticos no podrán hacer mucho. Eso sí, tanto en nuestra red local (si ha sido comprometida) como en bares o puntos de acceso públicos, estamos totalmente expuestos a esta amenaza, por lo que, si nos conectamos a estas redes debemos tener cuidado, o al menos haber actualizado ya nuestro Windows con los últimos parches de seguridad.