Эксперты из компании Check Point сообщили о критической уязвимости DNS-серверов в Windows Server, получившей номер CVE-2020-1350 и критический рейтинг по шкале CVSS в 10 баллов.
Обнаруженная уязвимость настолько серьезна, что удостоилась получения специального имени - Sigred.
КТО ПОДВЕРЖЕН УЯЗВИМОСТИ?
Сервера Windows Server версий Windows Server 2008, Windows Server 2012,Windows Server 2016,Windows Server 2019, а также Windows Server version 1903,Windows Server version 1909;и Windows Server version 2004, включая доп. релизы (R2), в случае использования DNS-сервера в указанных операционных системах.
Особую опасность уязвимости придает тот факт, что как правило роль DNS-сервера часто совмещают с ролью контроллера домена Active Directory. Взломав такой сервер злоумышленник получает доступ к системе централизованной аутентификации пользователей.
Особенно опасно, если Windows Server с включенным DNS-сервером используется в качестве интернет-шлюза и может обрабатывать DNS-запросы из сети Интернет.
Ваша сеть также подвержена уязвимости, если Windows-сервер используется в качестве DNS-сервера у рабочих станций. Таким образом, переход пользователя на определенный сайт или вставка кода с доменом злоумышленников на зараженном сайте или в рекламной сети, сможет вызвать эксплуатирующий уязвимость DNS-запрос к вашему Windows-серверу.
ЧЕМ ГРОЗИТ УЯЗВИМОСТЬ?
Уязвимость относится к классу;"Удаленное выполнение кода (RCE)" и позволяет злоумышленникам с помощью специальным образом сформированного DNS-запроса, выполнить на сервере произвольный код.
Таким образом хакеры смогут:
- устанавливать вредоносное ПО для управления сервером,
- подменять ответы на DNS-запросы пользователей (таким образом, пользователь заходя на сайт online.sberbank.ru может быть перенаправлен на очень похожую фишинговую страницу),
- перехватывать электронные письма и сетевой трафик,
- использовать учетные данные сервера и пользователей для доступа к информационным ресурсам компании,
- распространять заражение на другие сервера локальной сети (действуя подобно сетевым червям, WannaCry, Conficker и другим).
ПОДРОБНЕЕ ОБ УЯЗВИМОСТИ
Уязвимость использует функцию переадресации DNS-запросов в случаях, когда DNS-сервер не может сам разрешить IP-адрес для запрашиваемого домена. При этом DNS-сервер перенаправляет запрос на NS-сервер (что соответствует архитектуре работы DNS-серверов).
Злоумышленники настраивают ответ от NS-сервера таким образом, чтобы он содержал более 64 кб данных (стандартным образом это невозможно из-за ограничения размера DNS-запросов, но злоумышленники используют механизмы сжатия DNS-имен). Обработка такого большого ответа может вызвать переполнение буфера в DNS-серверах Windows и произвольное выполнение кода.
Особенно опасен вариант применения уязвимости с помощью интернет-браузера. Заманив пользователя на определенный сайт, либо вставив вредоносный код на контролируемый злоумышленниками сайт (как правило порнографического или игрового характера), DNS-запрос к домену будет резолвится через Windows-сервер. Таким образом даже если ваш DNS-сервер не имеет выхода в Интернет и расположен внутри сетевого периметра, он все равно может попасть под атаку.
ИСПРАВЛЕНИЯ
Установите выпущенные Microsoft обновления для уязвимых операционных систем. Они доступны по ссылке.
Там же указан временный рецепт устранения уязвимости с помощью ограничения размера принимаемых DNS-пакетов.
С помощью редактора реестра добавьте параметр:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters DWORD = TcpReceivePacketSize Value = 0xFF00
И перезапустите DNS-сервер.
Но данный способ может вызвать некорректную обработку некоторых корректных DNS-запросов, поэтому используйте его только в случае невозможности установки обновления на сервер. И удалите этот ключ после установки обновлений.
РЕКОМЕНДАЦИИ ПО БЕЗОПАСНОСТИ ОТ АЙДЕКО
В систему предотвращения вторжений Ideco UTM мы добавили сигнатуру, блокирующую используемые в уязвимости DNS-запросы. Включите систему предотвращения в Ideco UTM, если ранее вы ее не использовали.
В журнале системы попытки эксплуатации уязвимости будут записаны в виде "ATTACK Windows Server DNS RCE aka SIGRed (CVE-2020-1350) - Query response".
Такой защиты достаточно, если Ideco UTM контролирует весь сетевой периметр и Windows-сервера не используют альтернативные интернет-шлюзы.
Дополнительные меры, которые повысят безопасность вашей сети к уязвимостям подобного рода:
- Включите перехват DNS-запросов в настройках DNS-сервера Ideco UTM.
- Windows-сервер даже при обращении к другим NS-серверам для резолвинга доменов, получит ответ от DNS-сервера Ideco UTM, "неправильные" запросы при этом будут отфильтрованы на нашем DNS-сервере.
- В Ideco UTM в качестве DNS-сервера используйте фильтрующие сервера от Яндекса или СкайДНС:
77.88.8.88 (безопасный сервер Яндекса)
77.88.8.2 (безопасный сервер Яндекса)
193.58.251.251 (фильтрующий сервер SkyDNS)
- Атакующие злоумышленники используют созданные ими домены для эксплуатации уязвимости. Облачные фильтрующие DNS-сервера обновляют базы таких доменов в реальном времени, поэтому они выдадут "заглушку" в качестве DNS-ответа, а не использующий эксплойт некорректный DNS-ответ с попыткой атаки.
- В качестве DNS-сервера у клиентов локальной сети используйте не контроллер домена, а DNS-сервер Ideco UTM.
- Наш сервер не подвержен данной и подобным уязвимостям, не отвечает на DNS-запросы из интернета, а также защищен системой предотвращения вторжений. Кроме того, мы используем Linux в качестве базовой операционной системы для модулей - распространение сетевых червей практически невозможно из-за гетерогенного характера сети.
- Для разрешения имен локального домена (прямой и обратной зоны) используются forward-зоны в DNS-сервере (создаются автоматически при вводе Ideco UTM в домен). Таким образом структура Active Directory будет работать полностью корректно.
- Заблокируйте сайты порнографического характера, онлайн-казино, зараженные и фишинговые сайты с помощью контент-фильтра в Ideco UTM.
- Это поможет сократить вектор возможных атак злоумышленников, т.к. они часто используют сайты подобного характера для эксплуатации новых эксплойтов.
Если вы еще не используете Ideco UTM, напомним, что развертывание сервера занимает всего 15-20 минут, а в течение 40 дней Ideco UTM работает с полным набором функций абсолютно бесплатно.