domingo, 15 de marzo de 2009

Falsificación a través de los servidores DNS y WINS en Windows

Dentro del conjunto de boletines de seguridad de marzo publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-008) de una actualización importante para el servidor DNS y WINS que solventa cuatro vulnerabilidades que podrían ser aprovechadas por un atacante remoto para falsificar respuestas y redirigir tráfico de red hacia sus propios sistemas.

El primero de los problemas reside en una vulnerabilidad de falsificación en el servidor de DNS de Windows causada porque no se hace uso de las respuestas cacheadas al recibir peticiones especialmente manipuladas, lo que podría permitir que los IDs de las siguientes transacciones sean más predecibles. Esto podría ser aprovechado por un atacante remoto para falsificar respuestas, pudiendo redirigir tráfico de Internet.

Otra vulnerabilidad de falsificación en el servidor de DNS de Windows está causada porque no se cachean de forma adecuada ciertas respuestas DNS. Esto llevaría al servidor a hacer consultas innecesarias, lo que podría permitir que los IDs de las siguientes transacciones fueran más predecibles. Ésto podría ser aprovechado por un atacante remoto para falsificar respuestas, pudiendo redirigir tráfico de Internet.

Existe una vulnerabilidad a ataques man-in-the-middle en el servidor de DNS cuando se usan las actualizaciones dinámicas y los ISATAP y WPAD todavía no se han registrado en el DNS. El problema está causado porque el servidor de DNS no valida de forma correcta quien puede registrar entradas WPAD en el servidor DNS. Esto podría ser aprovechado por un atacante remoto para falsificar un servidor web, pudiendo redirigir tráfico de Internet.

Por último, también se ha corregido una vulnerabilidad similar a ataques man-in-the-middle en el servidor de WINS cuando se usan las actualizaciones dinámicas y los ISATAP y WPAD todavía no se han registrado en el WINS. El problema está causado porque el servidor de WINS no valida de forma correcta quien puede registrar entradas WPAD en el servidor WINS. Ésto podría ser aprovechado por un atacante remoto para falsificar un servidor web, pudiendo redirigir tráfico de Internet.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según sistema y versión desde la página del boletín de seguridad de Microsoft:
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-008.mspx


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS09-008 – Importante
Vulnerabilidades en el servidor DNS y WINS podrían permitir la suplantación de identidad
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-008.mspx

No hay comentarios:

Publicar un comentario en la entrada