Una nueva vulnerabilidad en los Servicios de implementación de Windows (WDS) de Microsoft permite que un atacante bloquee un servidor remoto con cero interacción o autenticación del usuario.
Los fallas dirigidos a los servicios TFTP basados en UDP en WDS permiten a los atacantes aún menos hábiles paralizar su infraestructura de implementación de SO empresarial en minutos.
En particular, este ataque utiliza el tráfico de red despiadado y falsificado, lo que hace que sea difícil y difícil defender con los controles de seguridad tradicionales.
Vulnerabilidad TFTP de WDS de clic cero
La falla que no requiere autenticación o interacción del usuario (0 clics) permite a los atacantes expulsar de forma remota la memoria del sistema aprovechando las debilidades en el diseño de cómo WDS maneja las sesiones TFTP basadas en UDP en el puerto 69.
“El problema central es que el Maplet de la sesión de punto final no impone un límite en el número de sesiones. Como resultado, un atacante puede forjar direcciones IP falsas y números de puerto, lo que permite repetir nuevas sesiones hasta que los recursos del sistema se agoten”.
La vulnerabilidad proviene del servicio WDS TFTP, que crea un objeto de ctftpsession cada vez que se recibe una solicitud de conexión.
Como se muestra en este fragmento de código, la función wdstftp! CClientContext :: OnConnectionRequest gestiona este proceso.
Debido a que los servidores UDP no pueden verificar las fuentes de paquetes, los atacantes pueden falsificar paquetes utilizando direcciones de origen aleatorias y puertos, lo que obliga al servidor a asignar objetos de sesión excesivos en la memoria.
Prueba de concepto
En un entorno de prueba que ejecuta las vistas previas de Windows Server Insider en 8 GB de RAM, Peng ha demostrado que el consumo de memoria aumenta rápidamente a 15 GB en solo 7 minutos, bloqueando todo el sistema enviando continuamente los paquetes UDP falsificados al puerto 69.
La técnica de ataque es sorprendentemente fácil de implementar, con solo scripts básicos en máquinas Linux que necesitan generar paquetes falsificados.
Peng solo anunció el pseudocódigo para prevenir el abuso, pero dijo que “la múltiple subproceso podría acelerar significativamente el ataque”.
Esta vulnerabilidad plantea una gran amenaza para las organizaciones que dependen de WDS para las implementaciones de SO basadas en la red. Esto permite a los atacantes interrumpir completamente los servicios de arranque PXE en toda la empresa sin requerir autenticación o acceso privilegiado.
Los servicios de implementación de Windows se utilizan ampliamente en redes corporativas, centros de datos e instituciones educativas para implementaciones de sistema operativo optimizado, y esta vulnerabilidad es particularmente vulnerable a los administradores de TI.
A pesar de la decisión de no emitir los parches de Microsoft, Peng afirma que “sigue siendo una vulnerabilidad crítica de DOS” que “puede bloquear la red PXE de toda la compañía y paralizar el sistema de implementación empresarial de forma remota”.
Esta vulnerabilidad sigue una falla anterior relacionada con WDS, incluida la vulnerabilidad de ejecución de código remoto (CVE-2019-0603), que fue parcheado en marzo de 2019.
Actualmente, parece que no hay estrategias de mitigación efectivas para las organizaciones que utilizan servicios de implementación de Windows que no sean considerar soluciones de implementación alternativas e implementar un filtrado de red estricto al limitar el acceso al puerto 69.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
