SIGRed: wurmfähige Schwachstelle in Windows Server entdeckt

Check Point hat eine 17 Jahre alte ‚wurmfähige‘ Schwachstelle in Windows Server entdeckt. Die mit CVE-2020-1350 geführte Lücke weist laut Microsoft den maximal möglichen Schweregrad von 10 auf. Mit dem gestern veröffentlichten Patch KB4569509 wird die Lücke behoben. Administratoren sollten also schnellstmöglich das Update installieren.

Der vom Check-Point-Forscher Sagi Tzadik entdeckte Fehler bezieht sich auf Microsoft Windows DNS, den Domain Name System Service in Windows-Betriebssystemen. Laut Check Point ist die mit „SIGRed“ bezeichnete Schwachstelle besonders gefährlich, da sich Schadcode darüber schnell ausbreiten und andere Rechner befallen kann. Damit könnte das gesamte Netzwerk einer Organisation lahmgelegt werden.

Durch Ausnutzen der Schwachstelle „kann ein Hacker böswillige DNS-Abfragen an Windows-DNS-Server stellen und eine willkürliche Codeausführung erreichen, die die gesamten Infrastruktur betreffen könnte“, sagt Tzadik in einem Blog-Beitrag.

Die Schwachstelle besteht aufgrund der Art und Weise wie Windows DNS-Server eingehende DNS-Abfragen analysiert und wie weitergeleitete DNS-Abfragen behandelt werden. Insbesondere das Senden einer DNS-Antwort mit einem SIG-Eintrag über 64 KB kann „einen kontrollierten Heap-basierten Pufferüberlauf verursachen“.

„Wenn sie durch eine böswillige DNS-Abfrage ausgelöst wird, löst sie einen Heap-basierten Pufferüberlauf aus, der es dem Hacker ermöglicht, die Kontrolle über den Server zu übernehmen und es ihm ermöglicht, die E-Mails und den Netzwerkverkehr der Benutzer abzufangen und zu manipulieren, Dienste nicht verfügbar zu machen, sich die Zugangsdaten der Benutzer anzueignen und vieles mehr“, sagt Check Point.

Check Point hat Ausnutzungsmöglichkeiten in der technischen Analyse des Unternehmens diskutiert, aber auf Wunsch von Microsoft einige Informationen zurückgehalten, um Systemadministratoren Zeit zu geben, ihre Systeme zu patchen.

Die Cybersicherheitsfirma gab Microsoft am 19. Mai ihre Ergebnisse bekannt. Nach der Prüfung und Verifizierung des Problems hat Microsoft die Schwachstelle 18. Juni unter CVE-2020-1350 bekanntgegeben. „Dieses Problem resultiert aus einem Fehler in Microsofts DNS-Serverrollenimplementierung und betrifft alle Windows Server-Versionen. Nicht-Microsoft DNS-Server sind nicht betroffen“, sagt Microsoft.

„Wurmfähige Schwachstellen haben das Potenzial, sich über Malware zwischen anfälligen Computern ohne Benutzerinteraktion zu verbreiten“, fügt das Unternehmen hinzu. „Windows DNS Server ist eine zentrale Netzwerkkomponente. Obwohl derzeit nicht bekannt ist, dass diese Schwachstelle bei aktiven Angriffen genutzt wird, ist es wichtig, dass die Kunden so schnell wie möglich Windows-Updates installieren, um diese Schwachstelle zu beheben“.

Zwar gibt es derzeit keine Beweise dafür, dass die Schwachstelle ausgenutzt wurde, doch das Problem ist seit 17 Jahren im Code von Microsoft enthalten. Infolgedessen, so Check Point, könne man „nicht ausschließen“, dass die Schwachstelle in dieser Zeit missbraucht worden sei.

„Wir glauben, dass die Wahrscheinlichkeit, dass diese Schwachstelle ausgenutzt wurde, hoch ist, da wir intern alle Möglichkeiten gefunden haben, die erforderlich sind, um diesen Fehler auszunutzen“, fügte das Unternehmen hinzu. „Aus Zeitgründen haben wir die Ausnutzung des Bugs nicht weiter verfolgt, aber wir glauben, dass ein entschlossener Angreifer in der Lage sein wird, ihn auszunutzen.

Wenn eine vorübergehende Abhilfe erforderlich ist, empfiehlt Check Point, die maximale Länge einer DNS-Nachricht über TCP auf 0xFF00 zu setzen. Microsoft hat auch einen Workaround-Leitfaden zur Verfügung gestellt.