• Tweet

En respuesta a una alerta de seguridad elevada, Microsoft ha actualizado sus boletines dirigidos a usuarios para proteger sus software de servidor contra ataques de envenenamiento de cache de DNS.

El gigante de software revisó sus configuraciones recomendadas para algunos productos de Servidor Windows el miércoles por la tarde, aclarando cuales configuraciones predeterminadas podrían dejar a los equipos vulnerables a ataques de envenenamiento de DNS. La actualización de seguridad fue lanzada por un reporte realizado por el ISC (Internet Storm Center), el cual había recibido noticias de un número de ataques de envenenamiento de cache de DNS.

El envenenamiento de cache de DNS involucra la práctica de hacking en servidores de nombres de dominio y reemplazar las direcciones numéricas de sitios Web legítimos con las direcciones de sitios maliciosos. El esquema típico redirecciona a los usuarios de Internet a páginas Web falsas donde se les podría pedir información sensitiva o instalárseles software spyware en sus equipos, un ataque en línea que también es conocido como "pharming".

A principios de marzo, ISC advirtió de ataques de envenenamiento de cache de DNS que estuvieron redireccionando a los usuarios a sitios Web almacenando software malicioso, incluyendo spyware. Los ataques involucraron varias tecnologías diferentes, incluyendo software de servidor de Microsoft y aplicaciones de seguridad creadas por el especialista en antivirus Symantec.

Una segunda ola de ataques en marzo intentaron dirigir a los usuarios de Web a sitios que comercializan medicamentos, y los ataques de spyware reaparecieron la semana pasada, de acuerdo con el ISC.

En un artículo publicado en el sitio Web del grupo watchdog, el investigador del ISC, Kyle Haugsness, dijo que los individuos lanzando los ataques contra DNS continúan cambiando sus estrategias para atacar a aquellos que no han actualizado sus configuraciones de servidor.

"Después de monitorear la situación por varias semanas, los reportes indican que aparentemente los intrusos están cambiado sus métodos y herramientas para apuntar a diferentes servidores comprometidos en un esfuerzo por mantener vivos los ataques", de acuerdo con lo escrito por Haugsness en el reporte.

El problema afecta a Windows Server 2003 (en sus versiones standard, enterprise y datacenter), Windows 2000 Server (también en las versiones advanced y datacenter) y Windows NT Server 4.0 standard edition, de acuerdo con los reportado por Microsoft en el boletín (http://support.microsoft.com/kb/241352/EN-US/). Los servidores con Service Pack 3 instalado, o que ejecuten software vendido después de que la actualización fue liberada, ya están protegidos contra el envenenamiento de cache de DNS de forma predeterminada. De otra forma, las configuraciones necesarias deben ser activadas utilizando la Consola de Administración de DNS.

ISC también bosquejó un segundo escenario de envenenamiento de cache de DNS que explota productos de Microsoft. Los servidores DNS de Windows, cuando reenvían datos a otro servidor, esperan que el otro servidor estén protegidos contra ataques de envenenamiento de cache. Sin embargo, ISC dijo que algunos casos, los servidores de DNS de Windows acepten todos los datos que reciben en tales transacciones, independientemente de sus configuraciones. El grupo recomendó que los administradores aseguren que su software de servidor este filtrando las amenazas de DNS.

La frecuencia incrementada de los ataques de envenenamiento de cache de DNS hizo que el ISC incrementara el nivel de amenaza para el problema a "amarillo", lo que indica que la emergencia es una "nueva amenaza significativa".

Mientras el rango amarillo es solo el tercer nivel más severo en la escala de colores del ISC, es importante hacer notar que el grupo previamente aplicó el mismo nivel de emergencia para algunos de los peores ataques de virus contra el Web, incluyendo el MSBlast y Slammer.