SIGRed: Microsoft släpper patch för kritisk, maskbar sårbarhet i Windows DNS-server

0 Shares

Färgglada Microsoft-logotyp

Som en del av den här månadens Patch Tuesday har Microsoft utfärdat en korrigering för en 17-årig Windows DNS-server sårbarhet. Känd som SIGRed och spåras som CVE-2020-1350, är ​​bristen allvarlig som har tilldelats en CVSS-baspoäng på 10,0.

Sårbarheten påverkar alla versioner av Windows Server och är en avmaskbar fjärrkörningsfel som inte kräver någon användarinteraktion. Förutom att utfärda en kritisk korrigering har Microsoft också tillhandahållit information om en lösning för alla som inte kan distribuera korrigeringen omedelbart

Se även:

Sårbarheten upptäcktes av säkerhetsforskare från Check Point Research, och även om hackare ännu inte anses ha använt felet för att starta attacker, säger Check Point “vi tror att sannolikheten för att denna sårbarhet utnyttjas är hög”.

Teamet säger:

Vi fann internt alla primitiver som krävs för att utnyttja detta fel. På grund av tidsbegränsningar fortsatte vi inte att utnyttja buggen (som inkluderar att kedja samman alla exploateringsprimitiv), men vi tror att en beslutsam angripare kommer att kunna utnyttja den. Framgångsrikt utnyttjande av denna sårbarhet skulle ha en allvarlig inverkan, eftersom du ofta kan hitta Windows-domänmiljöer som inte har överförts, särskilt domänkontrollanter. Dessutom kan vissa internetleverantörer till och med ha ställt in sina offentliga DNS-servrar som WinDNS.

Vi rekommenderar starkt användare att korrigera de drabbade Windows DNS-servrarna för att förhindra att denna sårbarhet utnyttjas.

Forskargruppen visar fjärrkodangreppet i en video:

Skrivande i Microsofts Security Response Center, Microsofts Mechele Gruhn säger:

Idag släppte vi en uppdatering för CVE-2020-1350, en kritisk fjärrkodutförande (RCE) sårbarhet i Windows DNS-server som är klassificerad som en “avmaskbar” sårbarhet och har en CVSS-baspoäng på 10,0. Det här problemet beror på en brist i implementeringen av Microsofts DNS-serverroll och påverkar alla Windows Server-versioner. Icke-Microsoft DNS-servrar påverkas inte.

Maskbara sårbarheter har potential att spridas via skadlig kod mellan utsatta datorer utan användarinteraktion. Windows DNS-server är en viktig nätverkskomponent. Även om det för närvarande inte är känt att denna sårbarhet används i aktiva attacker är det viktigt att kunderna använder Windows-uppdateringar för att åtgärda denna sårbarhet så snart som möjligt.

Alla som har aktiverat automatisk uppdatering kommer att få fixen, men Microsoft är medveten om att inte alla system kan uppdateras direkt. För sysadminer i denna position tillhandahåller företaget information om en registerbaserad lösning.

För att kringgå denna sårbarhet, gör följande registerändring för att begränsa storleken på det största tillåtna TCP-baserade DNS-svarspaketet:

HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services DNS Parameters

TcpReceivePacketSize

Värde = 0xFF00

Notera Du måste starta om DNS-tjänsten för att registerändringen ska träda i kraft.

Standardvärdet (även max) = 0xFFFF Det rekommenderade värdet = 0xFF00 (255 byte mindre än max)

Efter att lösningen har implementerats kommer en Windows DNS-server inte att kunna lösa DNS-namn för sina klienter när DNS-svaret från uppströmsservern är större än 65280 byte.

Microsoft påpekar att den här lösningen inte är utan potentiella problem:

TCP-baserade DNS-svarspaket som överstiger det rekommenderade värdet kommer att tappas utan fel, så det är möjligt att vissa frågor kanske inte besvaras. Detta kan resultera i ett oväntat misslyckande. En DNS-server kommer endast att påverkas negativt av den här lösningen om den får giltiga TCP-svar som är större än vad som var tillåtet i föregående begränsning (över 65 280 byte).

Bildkredit: Diverse fotografier / Shutterstock

0 Shares