Patch-alarm Windows Server voor wormbaar...

15 juli 2020

Beheerders van Windows-servers moeten met spoed aan de slag om een uiterst kritiek beveiligingsgat aan te pakken. Zij moeten de workaround of beter nog de patch van Microsoft toepassen voor de ingebouwde DNS-service. Deze blijkt in Windows Server 2003 tot en met 2019 de mogelijkheid te bieden om op afstand gehackt te worden. Malware kan zich als een worm verder verspreiden in IT-infrastructuren met Windows Server.

De kwetsbaarheid in Microsofts DNS-implementatie (domain name system) voor servers is ontdekt door beveiligingsbedrijf Check Point, die het de naam SigRed heeft gegeven. Het securitybedrijf heeft deze ontdekking op 19 mei verantwoord gemeld aan Microsoft die na verificatie van de vondst aan de slag is gegaan om het beveiligingsgat te dichten. Dat gebeurt met een patch (CVE-2020-1350) die gisteravond is uitgebracht voor Windows Server-installaties.

Wormbaar via 64KB
 
Beheerders krijgen het dringende advies om beschermende maatregelen te nemen voor systemen die Windows Server draaien. Versies van de afgelopen 17 jaar zijn namelijk kwetsbaar én het gat laat aanvallers op afstand kwaadaardige code uitvoeren. Bovendien is zo'n RCE-aanval (remote code execution) die hierlangs mogelijk is 'wormbaar', wat wil zeggen dat malware zich als een worm kan gedragen door zelf voor vermenigvuldiging en verdere, volautomatische verspreiding te zorgen.

Het uitvoeren van een aanval op deze kwetsbaarheid in alle Windows Server-versies sinds 2003 is ook nog eens relatief eenvoudig. Kwaadwillenden hoeven slechts een speciaal geprepareerd DNS-antwoord te versturen met een signature-record (SIG record) dat 'groot' is: boven de 64 kilobyte. Dit veroorzaakt dan een buffer overflow waarna de veroorzaker daarvan eigen code naar keuze kan draaien met de diepgaande rechten van het SYSTEM-account waarop de DNS-software draait.

Macht over de hele infrastructuur
 
Een aanvaller krijgt zo Domain Administrator-rechten en daarmee is effectief de hele IT-infrastructuur van een organisatie gecompromitteerd, waarschuwt Check Point. Microsoft heeft SigRed dan ook de hoogst mogelijke waardering voor beveiligingsrisico’s gegeven: een CVSS-score van 10.0 (op de schaal van 10).

Omri Herscovici, hoofd van het Vulnerability Research Team van Check Point, wijst op de ernst van SigRed. Hij verklaart dat elk bedrijf, van klein tot groot, dat infrastructuur van Microsoft gebruikt, een groot beveiligingsrisico loopt. "Het hele netwerk van het bedrijf loopt gevaar. Deze kwetsbaarheid zit al meer dan 17 jaar in de Microsoft-code, waardoor het ook niet is uitgesloten dat iemand anders het lek al heeft ontdekt.”

'Voorkom de volgende cyberpandemie'
 
“Deze bevindingen maken ook nog eens duidelijk dat er heel wat veiligheidsrisico’s bestaan die nog niet gekend zijn. We noemen dit bewuste lek ‘SigRed’ en geloven dat het de hoogste prioriteit moet krijgen. Dit is niet zomaar een reguliere kwetsbaarheid. Patch dus nu om de volgende cyberpandemie te voorkomen.”

Naast het met spoed toepassen van de patch die Microsoft heeft uitgebracht, raadt Herscovici bedrijven aan om een beroep te doen op externe beveiligingsleveranciers om IT-infrastructuren te beschermen. Beheerders die om wat voor reden dan ook de gisteravond uitgebrachte patch niet snel kunnen installeren, kunnen wel een workaround instellen die Microsoft aandraagt. Dit is het via de opdrachtregel toevoegen van een parameter aan de ingebouwde DNS-service van Windows Server. Hierdoor wordt de omvang beperkt voor packets die de software in ontvangst neemt.

Workaround
 
Voer in “CMD” in:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f

En daarna:

net stop DNS && net start DNS

Laatstgenoemde is dus nodig om de DNS-service opnieuw op te starten, wat Microsoft opmerkt in zijn security advisory over deze kritieke kwetsbaarheid. Als na het toepassen van de workaround nog de patch wordt geïnstalleerd, kan deze registeraanpassing weer verwijderd worden.

Update:
 
Fout in commando gecorrigeerd, waardoor de bedoelde 2 commando's duidelijk worden weergegeven.
 

meer informatie