El error de Windows SIGRed DNS obtiene el primer exploit público de RCE PoC

Una vulnerabilidad funcional de prueba de concepto (PoC) ahora está disponible públicamente para la vulnerabilidad de ejecución de código remoto crítico (RCE) de SIGRed Windows DNS Server.

Microsoft publicó actualizaciones de seguridad para abordar la falla de seguridad detectada como CVE-2020-1350 el 14 de julio de 2020, junto con una solución alternativa basada en el registro que ayuda a proteger los servidores Windows afectados de ataques.

SIGRed ha estado en el código de Microsoft durante más de 17 años, afecta a todas las versiones de Windows Server desde 2003 hasta 2019 y ha recibido una puntuación máxima de gravedad de 10 sobre 10.

Microsoft ha clasificado el defecto como gusano, lo que indica que el malware que lo explota puede propagarse automáticamente entre máquinas vulnerables en la red sin la interacción del usuario.

Esto lo coloca en la misma categoría de riesgo que el error BlueKeep RDP (Protocolo de escritorio remoto) y el error EternalBlue en Server Message Block (SMB).

Después de aprovechar con éxito SIGRed contra servidores de controlador de dominio (DC) que ejecutan DNS, los atacantes no autenticados pueden lograr la ejecución remota de código como SYSTEM.

Probado en múltiples versiones de Windows Server

Valentina Palmiotti, investigadora responsable de seguridad en Grapl, quien compartido el PoC también publicó un artículo que detalla los métodos utilizados por el exploit.

"Si se explota con cuidado, los atacantes pueden ejecutar código de forma remota en el sistema vulnerable y obtener derechos de administrador de dominio, comprometiendo efectivamente toda la infraestructura corporativa", Palmiotti explicado.

El exploit operativo de PoC (1, 2) se ha probado con éxito en versiones de 64 bits sin parches de Windows Server 2019, 2016, 2012R2 y 2012.

Los administradores que aún no hayan parcheado sus servidores pueden solicitar y no pueden implementar de inmediato las actualizaciones de seguridad necesarias Solución alternativa de Microsoft (no requiere reiniciar).

El artículo de Palmiotti también incluye información sobre cómo crear reglas SIEM para detectar la explotación de SIGRed.

El investigador compartió un video de demostración que muestra el exploit SigRed CVE-2020-1350 RCE en acción.

Explotar SIGRed DoS disponible públicamente

Las vulnerabilidades de SIGRed PoC se publicaron anteriormente, con scripts diseñados para activar condiciones de denegación de servicio (DoS) compartidas públicamente, días después de que Microsoft solucionó el error.

Sin embargo, este es el primer exploit de ejecución remota de código disponible desde que Microsoft solucionó la vulnerabilidad.

Para crear este PoC RCE, Palmiotti utilizó algunas técnicas de explotación compartidas por el investigador de seguridad de DATAFARM Worawit Wang en un escríbelo publicado en septiembre de 2020.

Dos días después de que Microsoft solucionó el error, CISA ordenó a las agencias federales que corrigieran el defecto de gusano SIGRed en 24 horas.

La NSA también ha emitido una advertencia instando a los administradores a aplicar inmediatamente el parche CVE-2020-1350 a todos los servidores de Windows.