В мае 2020 года в Windows DNS Server была обнаружена критическая уязвимость (кодовое имя – SigRed, идентификатор — CVE-2020-1350).

По CVSSv3 (шкале оценки уязвимостей) ей было получено 10 баллов из 10. Такие цифры этого рейтинга означают крайнюю простоту в использовании ошибки, эксплуатация не требует практически компетентности .

Возможно использование данной уязвимости, в том числе и для удалённых автоматизированных атак, так как даже не требуется никакая предварительная аутентификация.

Уязвимость существовала 17 лет, и представляет опасность для версий Windows Server (2003-2019 гг. вып.).

При эксплуатации можно отправлять специфические DNS-запросы к серверам Windows, что даст выполнение произвольного кода и потенциально может скомпрометировать всю структуру.

Как DNS-сервер Windows обрабатывает входящие и переадресованные DNS-запросы: ответ с SIG более 64 КБ может допускать управляемое переполнение буфера и выполнение специфического вредоносного кода, что в итоге позволит получить контроль над сервером.

Так как служба имеет привилегии «SYSTEM», в случае доступа к управлению ей – происходит получение прав на уровне администратора домена. Что может пользователь уровня администратора домена – очень многое…

Самое интересное, что, оказывается, в некоторых случаях уязвимость может эксплуатироваться и через браузеры.

Полная информация из отчётов технических исследовательских групп намеренно не предоставляется для того, чтобы было время на установку патчей безопасности.

Разумеется, не исключается возможность того, что эта уязвимость уже была эксплуатирована, но пока достоверных данных нет.

Сама Microsoft предупреждает, что Windows DNS Server – это ключевой сетевой компонент, а уязвимость обладает потенциалом червя, то есть может распространять малварь между уязвимыми устройствами автоматически, без какого-либо вмешательства пользователя.

«Один единственный эксплоит может запустить цепную реакцию, благодаря которой атаки будут распространяться с одной уязвимой машины на другую без вмешательства человека. Это значит, что всего одна взломанная машина может выступать “суперраспространителем”, что позволит атаке распространиться по всей сети организации всего за несколько минут после первой компрометации», — гласит отчет Check Point.

Microsoft уже устранила эту проблему, и теперь всем пользователям рекомендуется установить исправления как можно скорее, так как аналитики опасаются скорого появления эксплоитов для этого бага.

*Также специалисты Microsoft и Check Point отмечают:

 что если по какой-то причине установка патчей невозможна, то следует внести изменение в реестр и ограничить максимальную длину DNS-сообщения посредством TCP на 0xFF00, чтобы исключить вероятность переполнения буфера.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

GPD ХОСТИНГ КОНТАКТЫ
GPD ХОСТИНГ СОЦ.СЕТИ
МЕТОДЫ ОПЛАТЫ