Veiligheidslek ontdekt in Windows DNS

15-07-2020 | door: Redactie

Veiligheidslek ontdekt in Windows DNS

Onderzoekers van Check Point ontdekten het veiligheidslek in Windows DNS (Domain Name System). Het kan een hacker in staat stellen om kwaadaardige verzoeken naar de Windows DNS-server te sturen en daarmee de gehele infrastructuur in gevaar te brengen. Het kritieke lek werd door Check Point ‘SigRed’ gedoopt en heeft invloed op de versies 2003-2019 van de Windows-server.

DNS wordt ook wel eens het ‘telefoonboek van het internet’ genoemd. Het is een onderdeel van de globale internetinfrastructuur die de voor ons bekende namen van websites vertaalt naar de cijferreeksen die computers nodig hebben om een website te vinden of om een e-mail te verzenden. Wie een domeinnaam bezit, bijvoorbeeld www.checkpoint.com, beheert dit nummer via een ‘DNS-record’.

Deze servers zijn in iedere organisatie aanwezig en kunnen hackers bij uitbuiting van kwetsbaarheden de rechten als domeinbeheerder geven. Daarmee is het mogelijk om e-mails en netwerkverkeer van gebruikers te onderscheppen en te manipuleren, diensten onbeschikbaar te maken, gegevens van gebruikers te verzamelen, en nog veel meer. In feite zou de hacker de volledige IT-controle in een bedrijf kunnen overnemen.

Verantwoorde bekendmaking
Check Point Research maakte de bevindingen op 19 mei 2020 aan Microsoft bekend. Microsoft erkende het veiligheidslek en zal een patch (CVE-2020-1350) verspreiden tijdens de volgende ‘Patch Tuesday’ (14 juli 2020). Microsoft heeft deze kwetsbaarheid ook de hoogst mogelijke rating voor veiligheidsrisico’s (CVSS:10.0) gegeven.

Kettingreactie
Microsoft omschrijft het probleem als ‘wormable’, wat erop neerkomt dat het lek maar één keer moet worden benut om een kettingreactie te starten waarmee een aanval zich zonder menselijke interventie van computer naar computer kan verplaatsen. Eén enkele geïnfecteerde machine zou dus in een soort ‘superverspreider’ kunnen veranderen, waardoor een aanval zich in slechts enkele minuten via het netwerk van een organisatie kan verspreiden.

Patch nu
De patch voor deze kwetsbaarheid is vanaf 14 juli 2020 beschikbaar. Check Point raadt gebruikers van Windows sterk aan hun getroffen Windows DNS-servers te patchen, aangezien het risico op uitbuiting door hackers als hoog wordt beschouwd. Check Point is erin geslaagd om intern alle vereisten te vinden die nodig zijn om de bug te benutten. Hackers zijn dus zeker in staat om hetzelfde te doen.

Omri Herscovici, hoofd van het Vulnerability Research Team van Check Point: “Een lek in een DNS-server is een heel ernstig probleem. In de meeste gevallen is een hacker maar een fractie verwijderd van inbraak in de volledige organisatie. Ieder bedrijf, van klein tot groot, dat infrastructuur van Microsoft gebruikt, loopt een hoog veiligheidsrisico tot dit lek aan een patch is onderworpen. Het hele netwerk van het bedrijf loopt gevaar. Deze kwetsbaarheid zit al meer dan 17 jaar in de Microsoft-code, waardoor het ook niet is uitgesloten dat iemand anders het lek al heeft ontdekt.”

“Deze bevindingen maken ook nog eens duidelijk dat er heel wat veiligheidsrisico’s bestaan die nog niet gekend zijn. We noemen dit bewuste lek ‘SigRed’ en geloven dat het de hoogste prioriteit moet krijgen. Dit is niet zomaar een reguliere kwetsbaarheid. Patch dus nu om de volgende cyberpandemie te voorkomen.”

Hoe kunt u beschermd blijven?

Pas de patch toe die Microsoft op Patch Tuesday (14 juli 2020) beschikbaar maakt.
Doe een beroep op een externe provider om de IT-infrastructuur van uw bedrijf te beveiligen.
Gebruik de volgende tijdelijke oplossing om een aanval te blokkeren: In “CMD” type:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS

Terug naar nieuws overzicht
Security