Prevádzkujete Windows Active Directory Server? V DNS službe je kritická zraniteľnosť, varuje NCKB SK-CERT 

Národné centrum kybernetickej bezpečnosti SK-CERT dňa 15. júla 2020 vydalo bezpečnostné varovanie V20200715-01, v ktorom upozorňuje na kritické zraniteľnosti v produktoch spoločnosti Microsoft.

Najzávažnejšia z nich, označená ako „SIGRed“, môže spôsobiť úplnú kompromitáciu počítača. Ešte horšie je, že zraniteľná aplikácia Windows DNS server je základnou súčasťou a zároveň nevyhnutnou požiadavkou Windows Domain prostredia. Nachádza sa vo všetkých produktoch Microsoft Windows Server 2003 až 2019. Zraniteľnosť vie pritom vzdialený útočník zneužiť aj v prípade, že služba DNS je dostupná len z vnútornej siete. Zraniteľnosti bolo priradené číslo CVE-2020-1350 a najvyššie možné CVSS skóre, teda 10.0. 

Spoločnosť Checkpoint vydala komplexnú analýzu zraniteľnosti, z ktorej sme pri tvorbe tohto varovania čerpali. Celú analýzu si môžete prečítať na tomto odkaze.

Na uvedenú zraniteľnosť vydávame dodatočné varovanie, nakoľko je predpoklad, že zraniteľnosť bude aktívne zneužívaná útočníkmi aj v slovenskom kybernetickom priestore. 

Čo je to Windows DNS Server

Windows DNS server je implementáciou DNS protokolu v prostredí Microsoftu. Zariadeniam a používateľom v sieti umožňuje preklad adries zariadení na IP adresy.

DNS funguje na UDP/TCP porte 53, pričom jedna DNS správa (požiadavka alebo odpoveď) je podľa štandardu limitovaná na 512 bajtov cez UDP a 65,535 bajtov cez TCP. Pretože DNS je hierarchicky usporiadané a decentralizované, DNS server nepozná odpoveď na každú požiadavku ktorú prijme a neznáma požiadavka je presmerovaná na DNS server vyššie v hierarchii. Na vrchole tejto hierarchie je 13 koreňových DNS serverov.

Vo Windowse je DNS klient a DNS server implementovaný v dvoch rozdielnych moduloch. DNS Client (dnsapi.dll) slúži na DNS preklad mien a DNS Server (dns.exe) je zodpovedný za odpovede na DNS dotazy na Windows server, kde je DNS rola nainštalovaná. Zraniteľnosť sa vyskytuje iba v komponente DNS Server.

SIGRed zraniteľnosť sa vo Windows produktoch nachádza už 17 rokov, pričom bola odhalená externými bezpečnostnými analytikmi.

Ako funguje SIGRed zraniteľnosť

Sú dva scenáre, ako je možné zraniteľnosť zneužiť:

  • pri spracovaní špeciálne vytvorenej požiadavky na preklad
  • pri spracovaní odpovede na preposlanú (forwardovanú) požiadavku.

Zraniteľnosť pri spracovaní požiadavky je možné triviálne zneužiť, ak je Microsoft DNS server prístupný z verejného Internetu.

Zraniteľnosť pri spracovaní odpovede je možné zneužiť aj vtedy, ak je Microsoft DNS server prístupný len zo siete LAN. Útočníkovi stačí napríklad zriadiť vlastný DNS server, ktorý poskytuje špeciálne pripravené odpovede. Následne “donúti” obeť, aby s týmto DNS serverom komunikovala, pričom DNS útočníka bude odpovedať škodlivými odpoveďami. Vo veľa prípadoch vykoná počítač alebo mobilné zariadenie preklad adries automaticky, bez potvrdenia používateľom. Napríklad:

  • linky vo webových stránkach
  • linky v e-mailoch
  • linky a doménové mená, spracovávané a zobrazované v najrôznejších aplikáciách

Princípom zraniteľnosti je skutočnosť, že škodlivý dotaz (alebo odpoveď na preposlaný dotaz) spôsobí pretečenie zásobníka (buffer overflow) a to tak, že na Windows DNS Server príde požiadavka väčšia ako je limit pre jednotlivý paket (512 bajtov, ak server podporuje EDNS0 tak 4096 bajtov). Pretečenie zásobníka môže teda spôsobiť vykonanie škodlivého kódu, ktorý môže mať rôzny účel, od kompromitácie špecifických dát až po eskaláciu privilégií a prebratia kontroly nad systémom.

Odporúčania 

Nakoľko sú zariadenia so systémom Windows značne rozšírené nie len v slovenskom kybernetickom priestore, ale aj globálne, NCKB SK-CERT bez meškania odporúča:

  • Aplikovať všetky bezpečnostné aktualizácie vydané spoločnosťou Microsoft, najmä tie, ktoré opravujú zraniteľnosť SIGRed. Bezpečnostné aktualizácie pre prostredie Windows Server sú dostupné od verzií 2003 na tomto odkaze.
  • Zneužitu raniteľnosti DNS servera je možné predísť aj modifikáciou registrov a následným reštartom DNS:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters

 DWORD = TcpReceivePacketSize

 Value = 0xFF00

  • Nakoľko ide o zraniteľnosť, ktorá môže mať veľký dosah aj na kritické služby v organizácii, odporúčame taktiež:
    • preškoliť zamestnancov o základoch kybernetickej hygieny, najmä o tom, aby neotvárali podozrivé e-maily a prílohy v nich a takisto aby neklikali na podozrivé odkazy
    • monitorovať a vyhodnocovať podozrivú aktivitu v sieti
    • v rámci preventívnych opatrení zmeniť heslá do kritických služieb a systémov a takisto do systémov, ktoré mali rovnaké heslá
  • Ak sa vo vašej organizácii vyskytne kybernetický bezpečnostný incident, kontaktujte Národné centrum kybernetickej bezpečnosti SK-CERT na incident@nbu.gov.sk 

Zdroje 

https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/

 


« Späť na zoznam