Encuentran una vulnerabilidad Zero-day en servidores DNS vía RPC

as investigaciones realizadas, revelan que el ataque a esta vulnerabilidad, podría permitir a un usuario remoto ejecutar código en el contexto del servidor de nombres de dominio afectado, que por defecto se ejecutaría con los privilegios del sistema local.

El problema lo ocasiona un desbordamiento de búfer en la implementación de la interfase RPC.

RPC (Remote Procedure Call o Llamada de Procedimiento Remoto), es un protocolo utilizado por Windows, que proporciona un mecanismo de comunicación entre procesos internos, y que permite que un programa ejecutándose en una computadora pueda acceder a los servicios de otra.

DNS o Sistema de nombres de dominio, es un protocolo de Internet que asigna direcciones IP a nombres descriptivos. Un servidor DNS es un servidor en donde están almacenadas las correlaciones entre nombres de dominio y direcciones IP.

La explotación puede realizarse mediante el envío de un paquete de peticiones RPC realizada al equipo que corra un servidor DNS. Sin embargo, no es posible un ataque dirigido al puerto 53, asignado por defecto al servicio DNS.

Aunque Microsoft no lo especifica oficialmente, ya se conocen informes de ataques a equipos vulnerables, generalmente servidores de Internet.

Los equipos domésticos no son afectados (a menos que se haya instalado específicamente un servidor de nombres). Por lo tanto no son afectados ni Windows XP SP2, ni Windows Vista.

Tampoco es afectado Microsoft Windows 2000 Professional SP4, ya que no posee el código vulnerable.

Como medida mitigatoria, se sugiere incapacitar la administración remota vía RPC, en los equipos y sistemas vulnerables, mediante la creación de una clave específica del registro.

Bloquear por medio de un cortafuego u otros métodos, los puertos 1024 a 5000, también puede proteger a los equipos vulnerables de un ataque.