Estimados Cliente,
El día de 14 de Julio Check Point Software Technologies comunico esta vulnerabilidad de 17 años encontrada por el equipo de Check Point Research, la cual sin duda afecta a muchísimas empresas a nivel mundial. Las soluciones de Check Point IPS, Endpoint, CG Connect ya cuenta con las firmas necesarias para la protección.
Check Point en coordinación con Microsoft publicó CVE-2020-1350, una vulnerabilidad crítica de ejecución remota de código en Microsoft Windows DNS Server. Esta vulnerabilidad permitiría que un ataque comprometa su servidor DNS con acceso completo a nivel de sistema mediante solicitud y respuesta DNS. Como resultado, Check Point recomienda encarecidamente que los clientes habiliten la protección IPS “Ejecución remota de código del servidor DNS de Microsoft Windows (CVE-2020-1350)” y apliquen parches a sus servidores con urgencia. Microsoft lo calificó con un puntaje CVSS de 10 (el más alto posible) y afirmó que se trata de un exploit altamente wormable, lo que significa que podría usarse fácilmente para propagar malware de una máquina a otra dentro de una red o a través de Internet. Los sitios remotos sin puertas de enlace de Check Point pueden protegerse a través de CloudGuard Connect
Overview
Workaround
- Check Point IPS
Check Point IPS blade brinda protección contra esta amenaza: “Microsoft Windows DNS Server Remote Code Execution (CVE-2020-1350)”
- Modificar el Registro de Windows
Como solución temporal, hasta que se aplique el parche, sugerimos establecer la longitud máxima de un mensaje DNS (sobre TCP) en 0xFF00, lo que debería eliminar la vulnerabilidad. Puede hacerlo ejecutando los siguientes comandos:
| reg add «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters» /v «TcpReceivePacketSize» /t REG_DWORD /d 0xFF00 /f
net stop DNS && net start DNS |
Solución
- Microsoft liberó un fix (Patch Tuesday) para CVE-2020-1350 el pasado 14 Jul 2020. Microsoft alienta a los usuarios a aplicar el parche lo antes posible.
Protecciones Check Point
- Check Point Security Gateway con Protección IPS (CPAI-2020-0658 | CVE-2020-1350)
- Check Point Sandblast Agent (E83.11 ya protege contra esta amenaza)
- Check Point CloudGuard Connect para Oficinas Remotas
Referencias
- Check Point Research Blog Post
- Check Point IPS Signature for CVE-2020-1350
- Microsoft Security Response Center Blog Post
- Microsoft Security Update Guide
- MITRE CVE Industry Reference
En Cybertech Projects C.A. como aliado comercial de Check Point nos encontramos atentos a cualquier inquietud o apoyo que necesiten para garantizar la protección de nuestros clientes. Por favor escríbanos a soporte@cybertech.com.ve