SIGRed: Schwachstelle in Microsofts Windows DNS Service

Sicherheitsforscher von Check Point Software Technologies sind auf eine Schwachstelle gestoßen, die seit 17 Jahre unentdeckt geblieben war / ‚SIGRed‘ ist so gefährlich, dass Microsoft der Behebung die höchstmögliche Priorität einräumte / Alle Windows-Server-Betriebssysteme seit 2003 sind betroffen

[datensicherheit.de, 14.07.2020] Das Check Point Research Team von Check Point® Software Technologies Ltd., entdeckte eine Schwachstelle in ‚Windows DNS‘, dem Domain Name Service von Microsoft für alle Windows-Server-Betriebssysteme, zurückgehend bis zur Version von 2003. Ohne diesen Dienst, der als eine Art Telefonbuch im Internet für Verbindungsanfragen aller Art fungiert, könnten die Systeme nicht funktionieren und das Internet wäre in dieser Form unmöglich. Aus diesen Gründen kann Microsoft den Dienst nicht zur Wartung abschalten, sondern muss ihn im Betrieb bearbeiten.

Patch muss manuell eingespielt werden

Die Forscher von Check Point informierten am 19. Mai 2020 Microsoft über Ihre Erkenntnisse. Diese arbeiteten sofort an einer Lösung des Problems. Der entsprechende Patch wurde nun im Rahmen des ‚Patch-Dienstag‘ von Microsoft am 14. Juli 2020 ausgerollt. Entscheidend dabei: Der Patch wird nicht automatisch installiert. Er muss manuell eingespielt werden.

Höchstmöglichen Risikobewertung für die Schwachstelle

‚SIGRed‘, wie die Experten ihre Entdeckung nannten, ermöglicht Hackern den Zugang zu einem Server mit Windows-Betriebssystem, sowie den wiederrechtlichen Erwerb von Administratoren-Privilegien. Zudem wurde die Schwachstelle als ‚Wormable‘ eingestuft, das bedeutet, sie würde es Angreifern ermöglichen, weitere Teile der Infrastruktur und weitere Rechner zu infizieren – ohne menschliches Zutun und innerhalb weniger Minuten. Dieser Umstand führte dazu, dass Microsoft ‚SIGRed‘ mit der höchstmöglichen Risikobewertung versah: CVSS 10.0. Angreifer könnten über diese Schwachstelle die Kontrolle über den attackierten Server übernehmen, wenn sie diese Sicherheitslücke ausnutzen und gefälschte Anfragen an den DNS-Server des Unternehmens senden. Das würde es ihnen sehr einfach ermöglichen, schädliche Befehlszeilen auszuführen, um in das gesamte Netzwerk einzudringen. Somit wären sie in der Lage, den Mail-Verkehr zu manipulieren und den Netzwerkverkehr von Benutzern einzusehen, außerdem Dienste unerreichbar zu machen, Zugangsdaten zu sammeln und Malware einzuspeisen. Tatsächlich könnten Hacker so Stück für Stück die vollständige Kontrolle über die virtuelle Infrastruktur eines Unternehmens erlangen.

Christine Schönig, Foto: Check Point Software Technologies

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH, mahnt daher: „Eine Verwundbarkeit des DNS-Servers ist eine sehr ernste Sache, da der Dienst mit erhöhten Privilegien läuft und ein Angreifer nur Zentimeter davon entfernt ist ohne weiteres Zutun des Opfers, in die gesamte Organisation einzudringen. Es gibt nur eine Handvoll dieser Schwachstellentypen, die bisher überhaupt veröffentlicht wurden. Jedes Unternehmen, welches den Microsoft DNS-Server nutzt, ist daher einem großen Risiko ausgesetzt, wenn keine entsprechende Sicherheitslösung existiert oder der veröffentlichte Patch unverzüglich eingespielt wird. Das Ergebnis kann ein völliger Verlust der Kontrolle über das eigene Unternehmensnetzwerk sein. Zudem befindet sich diese Schwachstelle seit mehr als 17 Jahren im Code von Microsoft und wir wissen nicht was bisher schon geschehen ist.“

Dringende Empfehlung: Patch einspielen

Check Point empfiehlt Unternehmen und Windows-Nutzern dringend, den Patch zu installieren, um die Schwachstelle zu schließen. Er wird nicht automatisch eingespeist. Außerdem schützt Check Point IPS Blade zuverlässig gegen diese Schwachstelle unter der Bezeichnung: Microsoft Windows DNS Server Remote Code Execution (CVE-2020-1350).

Falls ein Unternehmen, aus welchem Grund auch immer, den Patch nicht sofort installieren möchte, hat Check Point außerdem einen Workaround entworfen. Zu diesem Zweck muss in die Kommandokonsole (CMD) der folgende Befehl eingeben werden:

reg add „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters“ /v „TcpReceivePacketSize“ /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS

Das legt die maximale Länge einer DNS-Anfrage über TCP auf 0xFF00 fest und sollte es damit unmöglich machen, die Lücke weiterhin auszunutzen.

Weitere Informationen zum Thema:

Check Point
SIGRed – Resolving Your Way into Domain Admin: Exploiting a 17 Year-old Bug in Windows DNS Servers

datensicherheit.de, 11.07.2020
Malware Joker: Gefahr für Android-Geräte

datensicherheit.de, 02.07.2020
Schwerwiegende Lücken entdeckt: RDP-Gateway von Apache Guacamole angreifbar