SigRed: sfruttare un bug di 17 anni nei server DNS di Windows

I ricercatori di Check Point hanno identificato una falla di sicurezza in Windows DNS, i servizi DNS (Domain Name System) forniti da Microsoft nei sistemi operativi Windows. Gli hacker potrebbero utilizzare questa vulnerabilità per ottenere i diritti di amministratore di dominio sui server e prendere il controllo delle reti aziendali. Una vulnerabilità critica che è presente nel codice del sistema da 17 anni.

La vulnerabilità è stata risolta dall’aggiornamento per la protezione con il Patch Tuesday di Microsoft del 14 luglio. Il bug, monitorato come CVE-2020-1350, ha ottenuto un punteggio di gravità CVSS di 10,0.

Scoperto dal ricercatore di Check Point Sagi Tzaik, il bug si riferisce al DNS di Microsoft Windows, al servizio di sistema dei nomi di dominio sui sistemi operativi Windows e al software Server.

Soprannominato “SigRed”, il team di sicurezza informatica afferma che la vulnerabilità è di particolare importanza per le aziende in quanto è wormable – o auto-propagante – e, come tale, è in grado di passare attraverso macchine vulnerabili senza alcuna interazione dell’utente, potenzialmente compromettendo l’intera rete dell’organizzazione.

vulnerabilità "wormable"

Sfruttando la vulnerabilità, “un hacker [può] creare query DNS dannosa su server DNS Windows e ottenere l’esecuzione di codice arbitrario che potrebbe portare alla violazione dell’intera infrastruttura“, afferma il team.

Il CVE-2020-1350 riguarda tutte le versioni di Windows Server dal 2003 al 2019.

La vulnerabilità è dovuta al modo in cui il server DNS di Windows analizza una query DNS in arrivo e alla gestione delle query DNS inoltrate. In particolare, l’invio di una risposta DNS con un record SIG superiore a 64 KB può “causare un buffer overflow basato su heap controllato di circa 64 KB su un piccolo buffer allocato“, afferma il team.

Se viene eseguita una query DNS dannosa, si attiva un buffer overflow basato su heap, consentendo all’hacker di assumere il controllo del server e consentendo loro di intercettare e manipolare le e-mail e il traffico di rete degli utenti, rendere i servizi non disponibili, raccogliere  credenziali e altre informazioni degli utenti“, afferma Check Point.

Poiché il servizio viene eseguito con privilegi elevati, se venisse compromesso, verrebbero concessi anche a un utente malintenzionato i diritti di amministratore di dominio. In scenari limitati, la vulnerabilità può essere attivata in remoto tramite sessioni del browser.

Check Point ha iniziato a divulgare delle informazioni tecniche dettagliate ma, su richiesta di Microsoft, ha nascosto alcune informazioni per dare agli amministratori di sistema il tempo di patchare i propri sistemi.

La società di cyber security ha divulgato le sue analisi a Microsoft il 19 maggio. Dopo il triage e la verifica del problema, il gigante di Redmond ha rilasciato CVE-2020-1350 il 18 giugno e, il 9 luglio, Microsoft ha riconosciuto che la falla di sicurezza era wormable impostando l’errore un punteggio di gravità elevato.

Questo problema deriva da un difetto nell’implementazione del ruolo del server DNS di Microsoft e interessa tutte le versioni di Windows Server. I server DNS non Microsoft non sono interessati“, afferma Microsoft.

Le vulnerabilità dei worm vulnerabili possono diffondersi tramite malware tra computer vulnerabili senza l’interazione dell’utente“, ha aggiunto la società. “Il server DNS di Windows è un componente di rete fondamentale. Sebbene questa vulnerabilità non sia attualmente nota per essere utilizzata negli attacchi attivi, è essenziale che i clienti applichino gli aggiornamenti di Windows per risolvere questa vulnerabilità il più presto possibile.

Sebbene al momento non vi siano prove che la vulnerabilità sia stata sfruttata, il problema è stato nascosto nel codice di Microsoft per 17 anni. Di conseguenza, ha detto Check Point, “non possono escludere” la possibilità che sia stato abusato durante questo periodo.

Riteniamo che la probabilità che questa vulnerabilità venga sfruttata è elevata, in quanto abbiamo trovato internamente tutti gli elementi necessari per sfruttare questo bug“, ha aggiunto la società. “A causa dei vincoli temporali, non abbiamo continuato a perseguire lo sfruttamento del bug (che include il concatenamento di tutti elementi necessari allo sfruttamento), ma crediamo che un attaccante determinato sarà in grado di sfruttarlo“.

Se è necessaria una soluzione temporanea, Check Point consiglia di impostare la lunghezza massima di un messaggio DNS su TCP su 0xFF00. Microsoft ha anche fornito una guida.

Potete seguire alert e notizie in tempo reale su Vulnerabilità, Exploits, Attacchi, Codici Malevoli e Cyber-Crime sul nostro profilo Twitter https://twitter.com/euroinformatica o su quello della nostra Security Unit “CyberTeam” su https://twitter.com/CyberTeamClub