Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Mesačný prehľad za mesiac júl 2020
Tlačové správy
05.08.2020
Mesačná správa CSIRT.SK - Jún 2020
Tlačové správy
23.07.2020
Mesačná správa CSIRT.SK - Máj 2020
Tlačové správy
21.07.2020
Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

SIGRed - kritická zraniteľnosť Windows DNS serverov

17.07.2020
Spoločnosť Microsoft opravila kritickú zraniteľnosť DNS (CVSS 10), ktorá je vo všetkých Windows serveroch konfigurovaných ako DNS už 17 rokov. Útočníkovi umožňuje preposielať citlivé dáta na svoj server, manipulovať so sieťovým prenosom, a tiež kompromitovať celú sieť.

 

Dôsledky

  • Možná kompromitácia akejkoľvek siete, ktorá má v sebe konfigurovaný Windows DNS server

Opis činnosti
CVE-2020-1350

Zraniteľnosť DNS sa nachádza v spôsobe, ako Windows Server v roli DNS spracováva požiadavky a odpovede na preposlané DNS požiadavky v module dns.exe.

Samotná chyba súvisí s pretečením celočíselnej premennej, čo môže spôsobiť pretečenie vyrovnávacej pamäte na halde. Pri odoslaní požiadavky presahujúcej maximálnu povolenú hodnotu TCP 65 535 bajtov, cielene vytvorenej na zneužitie tejto zraniteľnosti, nastáva pretečenie, kde následne dáta môžu prepísať určité hodnoty v pamäti. Tieto v následných krokoch umožnia kompromitáciu siete, ktorej zraniteľný server DNS poskytuje služby.

Jednou z možností zneužitia zraniteľnosti je, ak je útočník schopný docieliť, aby samotný zraniteľný DNS server začal spracovávať odpoveď na preposlanú požiadavku od svojho DNS servera v pozícii Man-in-the-middle. Toto je možné docieliť zneužitím podporovaného typu záznamu, napríklad odoslaním požiadavky DNS pre SIG (Signature record) s veľkosťou nad 65 535 bajtov. Spôsobí to pretečenie vyrovnávacej pamäte na halde cez malú alokovanú vyrovnávaciu pamäť, kde je zmenou správnych údajov docielené preposielanie/zachytávanie na útočníkov server, manipulovanie s emailovými správami, sieťovým prenosom a dostupnosťou služieb, alebo možnosť odcudziť prístupové údaje.

Požiadavku pre DNS server je možné doručiť aj pomocou protokolu HTTP s podvrhnutými dátami vo vnútri požiadavky POST, odoslanej na port 53. Server DNS systému Windows interpretuje doručené dáta ako požiadavku DNS a vykoná kód odoslaný útočníkom. Zároveň takáto požiadavka môže byť odoslaná len z prehliadačov Internet Explorer alebo Microsoft Edge, ktoré podporujú odoslanie požiadavky na port 53, zatiaľ čo prehliadače založené na jadre Chromium (Google Chrome, Mozilla Firefox) takéto požiadavky blokujú.

Zraniteľné systémy
Windows server 2003 – 2019 konfigurované ako DNS server

Závažnosť zraniteľnosti
Vysoká

Možné škody
Únik informácií
Narušenie dostupnosti systému (Dos)

Odporúčania

  • Bezodkladná aktualizácia podporovaných systémov Windows Server 2008, 2012, 2016 a 2019 na ktoré boli vydané bezpečnostné aktualizácie
  • Dopady zraniteľnosti je možné zmierniť zmenou v registroch Windows DNS serveru:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
       DWORD = TcpReceivePacketSize
       Value = 0xFF00
    (Nutný reštart služby DNS)

Odkazy
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
https://threatpost.com/critical-dns-bug-windows-servers-infrastructure-takeover/157427/
https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin:-exploiting-a-17-year-old-bug-in-windows-dns-servers/



<< zoznam oznámení