0-Day en el servidor DNS de Microsoft

Microsoft lo anunciaba hace unas horas en una nota en la que no parecían darle demasiada importancia pero en eEye no piensan lo mismo y parece que el fallo ya se está explotando de forma activa. En el boletín de Microsoft se enumeran las medidas recomendadas para mitigar la vulnerabilidad mientras que no haya parche disponible. Basicamente se trata de lo siguiente:

• Deshabilitar el control remoto sobre RPC de los servidores DNS susceptibles de ser afectados a través de la siguiente clave en el registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\RpcProtocol=dword:00000004

• Bloquear en nuestro cortafuegos el tráfico no solicitado que tenga por destino los puertos entre el 1024 y el 5000 de los sistemas susceptibles de ser afectados.
• Habilitar el filtro TCP/IP avanzado para bloquear el tráfico entrante no solicitado a los servidores con posibilidades de ser afectados.

No conozco a muchas empresas que usen los DNS de Microsoft salvo como apoyo (casi obligatorio, por desgracia) al Directorio Activo y estos servidores no suelen estar situados en zonas accesibles, así que imagino que la repercusión no será demasiado grande. Pero ya veremos…

ACTUALIZACI�?N: En Hispasec han publicado un boletín de urgencia para darle la mayor difusión a la advertencia.

ACTUALIZACI�N (y II): Microsoft da más información acerca de esta vulnerabilidad y de las contramedidas propuestas.