Cover Image

Bug critici nei server DNS di Windows potrebbero consentire un accesso completo all'infrastruttura

15 Luglio 2020 - Tempo di lettura: 9 minuti

Lo sfruttamento concederebbe i diritti di amministratore del dominio all'hacker che potrebbe compromettere l'intera infrastruttura aziendale

Microsoft ha risolto un totale di 123 vulnerabilità con i suoi aggiornamenti di Patch di luglio 2020, incluso un bug critico di esecuzione di codice remoto che ha interessato i server DNS di Windows (Domain Name System) negli ultimi 17 anni.

Rintracciato come CVE-2020-1350 e caratterizzato da un punteggio CVSS di 10 (su 10), il problema si verifica quando il server DNS non riesce a gestire correttamente le richieste, consentendo così a un utente malintenzionato remoto e non autenticato di eseguire codice arbitrario con privilegi di SISTEMA.

Scoperto dai ricercatori di Check Point, il difetto di sicurezza interessa i sistemi che eseguono Windows Server 2003, 2008, 2012, 2016, 2019 e Windows Server versione 1903 ed è wormable, il che significa che il malware può abusarne per diffondersi ai sistemi vulnerabili senza l'interazione dell'utente. Pertanto, potrebbe essere utilizzato per compromettere efficacemente un'intera rete aziendale.

È interessata solo l'implementazione del server DNS di Windows, ma non il client DNS di Windows, osserva Microsoft, aggiungendo che un utente malintenzionato può attivare il bug inviando richieste dannose ai server DNS di Windows.

L'attacco, tuttavia, richiede pacchetti DNS molto grandi e Microsoft nota che la modifica del registro per limitare la dimensione dei pacchetti TCP elaborati dal server è una soluzione valida per la vulnerabilità. Tuttavia, la soluzione alternativa dovrebbe essere rimossa dopo aver applicato le patch disponibili.

Check Point spiega che la vulnerabilità, che hanno chiamato "SIGRed, è un "overflow di numeri interi che porta a un overflow del buffer basato su heap" che può essere attivato inviando una risposta DNS con un record SIG di grandi dimensioni.

Oltre ad essere sfruttabile da un utente malintenzionato già presente sulla rete LAN, il problema può anche essere abusato tramite richieste POST HTTP dal browser Web, sebbene solo un numero limitato di browser consentirebbe alle richieste HTTP di accedere alla porta 53 (come Internet Explorer e Microsoft Edge non Chromium).

"Riteniamo che la probabilità che questa vulnerabilità venga sfruttata sia elevata, in quanto abbiamo trovato internamente tutti i primitivi necessari per sfruttare questo bug. A causa dei vincoli temporali, non abbiamo continuato a perseguire lo sfruttamento del bug (che include il concatenamento di tutte le primitive di sfruttamento), ma crediamo che un determinato aggressore sarebbe in grado di sfruttarlo”, osservano i ricercatori sulla sicurezza di Check Point.

A causa della gravità del problema e del potenziale compromesso totale della rete, si consiglia alle organizzazioni di applicare quanto prima le patch rilasciate o la soluzione alternativa suggerita, per garantire che rimangano protette.

"Fino ad ora, non siamo a conoscenza di exploit o casi di avversari disponibili pubblicamente che sfruttano exploit per questa vulnerabilità in natura", ha rivelato Katie Nickels, direttore delle informazioni di Red Canary, in un commento inviato via email.

“Detto questo, le vulnerabilità di gravità critica nel software onnipresente e privilegiato che possono essere sfruttate in modo simile a un worm ricordano le vulnerabilità del server message block (SMB) che hanno consentito attacchi distruttivi come WannaCry e NotPetya nel 2017. Naturalmente, è possibile che non arriverà nulla di CVE-2020-1350 in termini di sfruttamento del mondo reale, ma i potenziali danni che possono derivare da un bug come questo giustificano una risposta proattiva e approfondita, anche se finisce per essere una reazione eccessiva", ha continuato Nickels.

SIGRed non è l'unica vulnerabilità con un punteggio CVSS di 10 patchati questa settimana. Il set di soluzioni di sicurezza di luglio 2020 di SAP risolve CVE-2020-6287, indicato come RECON, un bug critico per l'esecuzione di codice in remoto che porta alla completa acquisizione del sistema.

intopic.it