SIGRed: wurmfähige Schwachstelle in Windows Server entdeckt

Die von Check Point entdeckte Schwachstelle befindet sich im DNS-Dienst. Sie soll bereits seit 17 Jahren exisitieren und sämtliche Server-Versionen betreffen. Microsoft hat bereits einen Patch veröffentlicht.

Check Point hat eine 17 Jahre alte ‚wurmfähige‘ Schwachstelle in Windows Server entdeckt. Die mit CVE-2020-1350 geführte Lücke weist laut Microsoft den maximal möglichen Schweregrad von 10 auf. Mit dem gestern veröffentlichten Patch KB4569509 wird die Lücke behoben. Administratoren sollten also schnellstmöglich das Update installieren.

Der vom Check-Point-Forscher Sagi Tzadik entdeckte Fehler bezieht sich auf Microsoft Windows DNS, den Domain Name System Service in Windows-Betriebssystemen. Laut Check Point ist die mit „SIGRed“ bezeichnete Schwachstelle besonders gefährlich, da sich Schadcode darüber schnell ausbreiten und andere Rechner befallen kann. Damit könnte das gesamte Netzwerk einer Organisation lahmgelegt werden.

Durch Ausnutzen der Schwachstelle „kann ein Hacker böswillige DNS-Abfragen an Windows-DNS-Server stellen und eine willkürliche Codeausführung erreichen, die die gesamten Infrastruktur betreffen könnte“, sagt Tzadik in einem Blog-Beitrag.

Die Schwachstelle besteht aufgrund der Art und Weise wie Windows DNS-Server eingehende DNS-Abfragen analysiert und wie weitergeleitete DNS-Abfragen behandelt werden. Insbesondere das Senden einer DNS-Antwort mit einem SIG-Eintrag über 64 KB kann „einen kontrollierten Heap-basierten Pufferüberlauf verursachen“.

„Wenn sie durch eine böswillige DNS-Abfrage ausgelöst wird, löst sie einen Heap-basierten Pufferüberlauf aus, der es dem Hacker ermöglicht, die Kontrolle über den Server zu übernehmen und es ihm ermöglicht, die E-Mails und den Netzwerkverkehr der Benutzer abzufangen und zu manipulieren, Dienste nicht verfügbar zu machen, sich die Zugangsdaten der Benutzer anzueignen und vieles mehr“, sagt Check Point.

Check Point hat Ausnutzungsmöglichkeiten in der technischen Analyse des Unternehmens diskutiert, aber auf Wunsch von Microsoft einige Informationen zurückgehalten, um Systemadministratoren Zeit zu geben, ihre Systeme zu patchen.

Die Cybersicherheitsfirma gab Microsoft am 19. Mai ihre Ergebnisse bekannt. Nach der Prüfung und Verifizierung des Problems hat Microsoft die Schwachstelle 18. Juni unter CVE-2020-1350 bekanntgegeben. „Dieses Problem resultiert aus einem Fehler in Microsofts DNS-Serverrollenimplementierung und betrifft alle Windows Server-Versionen. Nicht-Microsoft DNS-Server sind nicht betroffen“, sagt Microsoft.

„Wurmfähige Schwachstellen haben das Potenzial, sich über Malware zwischen anfälligen Computern ohne Benutzerinteraktion zu verbreiten“, fügt das Unternehmen hinzu. „Windows DNS Server ist eine zentrale Netzwerkkomponente. Obwohl derzeit nicht bekannt ist, dass diese Schwachstelle bei aktiven Angriffen genutzt wird, ist es wichtig, dass die Kunden so schnell wie möglich Windows-Updates installieren, um diese Schwachstelle zu beheben“.

Zwar gibt es derzeit keine Beweise dafür, dass die Schwachstelle ausgenutzt wurde, doch das Problem ist seit 17 Jahren im Code von Microsoft enthalten. Infolgedessen, so Check Point, könne man „nicht ausschließen“, dass die Schwachstelle in dieser Zeit missbraucht worden sei.

„Wir glauben, dass die Wahrscheinlichkeit, dass diese Schwachstelle ausgenutzt wurde, hoch ist, da wir intern alle Möglichkeiten gefunden haben, die erforderlich sind, um diesen Fehler auszunutzen“, fügte das Unternehmen hinzu. „Aus Zeitgründen haben wir die Ausnutzung des Bugs nicht weiter verfolgt, aber wir glauben, dass ein entschlossener Angreifer in der Lage sein wird, ihn auszunutzen.

Wenn eine vorübergehende Abhilfe erforderlich ist, empfiehlt Check Point, die maximale Länge einer DNS-Nachricht über TCP auf 0xFF00 zu setzen. Microsoft hat auch einen Workaround-Leitfaden zur Verfügung gestellt.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Themenseiten: Microsoft, Windows Server 2019

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu SIGRed: wurmfähige Schwachstelle in Windows Server entdeckt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *