Check Point en coordinación con Microsoft publicó CVE-2020-1350, una vulnerabilidad crítica de ejecución remota de código en Microsoft Windows DNS Server. Esta vulnerabilidad permitiría que un ataque comprometa su servidor DNS con acceso completo a nivel de sistema mediante solicitud y respuesta DNS. Como resultado, Check Point recomienda encarecidamente que los clientes habiliten la protección IPS “Ejecución remota de código del servidor DNS de Microsoft Windows (CVE-2020-1350)” y apliquen parches a sus servidores con urgencia. Microsoft lo calificó con un puntaje CVSS de 10 (el más alto posible) y afirmó que se trata de un exploit altamente wormable, lo que significa que podría usarse fácilmente para propagar malware de una máquina a otra dentro de una red o a través de Internet. Los sitios remotos sin puertas de enlace de Check Point pueden protegerse a través de CloudGuard Connect
Workaround
- Check Point IPS
Check Point IPS blade brinda protección contra esta amenaza: “Microsoft Windows DNS Server Remote Code Execution (CVE-2020-1350)”
- Modificar el Registro de Windows
Como solución temporal, hasta que se aplique el parche, sugerimos establecer la longitud máxima de un mensaje DNS (sobre TCP) en 0xFF00, lo que debería eliminar la vulnerabilidad. Puede hacerlo ejecutando los siguientes comandos:
| reg add «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters» /v «TcpReceivePacketSize» /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS |
Solución
- Microsoft liberó un fix (Patch Tuesday) para CVE-2020-1350 el pasado 14 Jul 2020. Microsoft alienta a los usuarios a aplicar el parche lo antes posible.
Protecciones Check Point
- Check Point Security Gateway con Protección IPS (CPAI-2020-0658 | CVE-2020-1350)
- Check Point Sandblast Agent (E83.11 ya protege contra esta amenaza)
- Check Point CloudGuard Connect para Oficinas Remotas
Referencias
