Microsoft waarschuwt voor een ernstige kwetsbaarheid in Windows DNS Server waardoor een ongeauthenticeerde aanvaller op afstand code kan uitvoeren. Het beveiligingslek raakt Windows-servers die als DNS-server zijn ingesteld en wordt veroorzaakt door de manier waarop Windows DNS Server omgaat met DNS-responses en -requests.
Het Domain Name System (DNS) vertaalt namen naar ip-adressen. Windows DNS Server is Microsofts implementatie van DNS en een essentieel onderdeel van Windows Domain-omgevingen. DNS is hiërarchisch opgezet en decentraal van aard. Wanneer een DNS-server het antwoord op een DNS-query niet weet, wordt het request doorgestuurd naar een DNS-server hogerop in de hiërarchie. Die stuurt vervolgens de response naar de lager gelegen DNS-server.
De kwetsbaarheid in Windows DNS Server werd gevonden door securitybedrijf Check Point. Onderzoekers van het bedrijf ontwikkelden een aanval waarbij er via een kwaadaardige DNS-response remote code execution is uit te voeren en een aanvaller domainbeheerderrechten kan krijgen. De aanval begint door de Windows DNS Server van het slachtoffer DNS-responses te laten verwerken die van een kwaadaardige DNS-nameserver afkomstig zijn.
De aanvaller laat vervolgens de DNS-server van het slachtoffer een SIG-record bij de kwaadaardige DNS-server opvragen. Het Signature (SIG)-record is ontwikkeld voor het opslaan van een digitale handtekening in DNS. Een aanvaller kan een speciaal geprepareerd SIG-record van meer dan 64KB als antwoord naar de DNS-server van het slachtoffer sturen, waardoor er een heap-based buffer overflow ontstaat. Vervolgens is het mogelijk om code op de server uit te voeren. "Aangezien de service met verhoogde rechten (SYSTEM) draait, krijgt een aanvaller bij een succesvolle aanval domainbeheerderrechten toegekend, en compromitteert zo in feite de gehele zakelijke infrastructuur", aldus Checkpoint.
De aanval is ook via de browser uit te voeren, waarbij een slachtoffer een website van de aanvaller moet bezoeken, aldus de uitleg van Check Point. De onderzoekers merken op dat de meeste browsers, zoals Google Chrome en Mozilla Firefox, geen http-requests naar poort 53 (DNS) toestaan. De kwetsbaarheid is dan ook alleen via een beperkte verzameling browsers te misbruiken, waaronder Internet Explorer en Microsoft Edge.
Op een schaal van 1 tot en met 10 wat betreft de ernst is de kwetsbaarheid beoordeeld met een 10. Microsoft laat weten dat het lek "wormable" is, wat inhoudt dat malware kwetsbare systemen automatisch en zonder menselijke interactie kan infecteren. "DNS is een fundamenteel netwerkonderdeel en vaak geïnstalleerd op domaincontrollers. Een succesvolle aanval kan voor ernstige onderbrekingen zorgen en toegang tot belangrijke domain-accounts geven", aldus een uitleg van het techbedrijf.
Microsoft stelt verder dat er nog geen aanvallen bekend zijn die van de kwetsbaarheid misbruik maken, maar dat dit slechts een kwestie van tijd is. Klanten worden dan ook opgeroepen om de beveiligingsupdate zo snel als mogelijk te installeren. Wanneer dit niet mogelijk is kan er een Register-gebaseerde workaround worden doorgevoerd, waarbij het niet nodig is om de server te herstarten.
De kwetsbaarheid, aangeduid als CVE-2020-1350, is aanwezig in Windows Server 2003 tot en met 2019. Microsoft werd op 19 mei over het beveiligingslek geïnformeerd. Vanavond zijn er voor Windows Server 2008 en nieuwer beveiligingsupdates verschenen.
Deze posting is gelocked. Reageren is niet meer mogelijk.