Abonner
SÅRBARHETER

Frykter at 17 år gammel DNS-sårbarhet i Windows Server kan utnyttes av ormer

Kan gi full tilgang til datamaskinene i andres lokalnett.

Check Point har gått sterkt ut for å få oppmerksomhet om sårbarheten selskapet har oppdaget.
Check Point har gått sterkt ut for å få oppmerksomhet om sårbarheten selskapet har oppdaget. Illustrasjon: Check Point Research
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
15. juli 2020 - 10:07

Microsoft kom i går med sikkerhetsoppdateringer som til sammen fjerner over hundre sårbarheter i selskapets produkter. Flere av sårbarhetene har kritisk alvorlighetsgrad. Det innebærer stort sett at de åpner for fjernkjøring av vilkårlig kode i systemet. 

Blant alle disse er det én sårbarhet som har fått ekstra mye oppmerksomhet, også fra Microsoft selv. Det er en sårbarhet i Windows DNS Server som potensielt kan bli utnyttet av ormer, det vil si skadevare som sprer seg selv fra system til system uten brukerinteraksjon. Den er gitt 10,0 poeng i Common Vulnerability Scoring System (CVSS), noe som er den aller høyeste verdien.

Den uavhengige sikkerhetseksperten Gøran Tømte sier han kan forstå begge sider i deres valg og at man må se på helheten før man offentliggjør en løsning som ondsinnede aktører helst ikke skal være oppmerksomme på.
Les også

Hacker-tabbe: – Det burde være et eget «Dark Web» for «the good guys»

Artikkelen fortsetter etter annonsen
annonsørinnhold
Atea
Riktig utstyr for problemfrie videomøter: Dette sier ekspertene

Kun i Windows Server 2003 og nyere

Sårbarheten ble introdusert med Windows Server 2003 og finnes i alle nyere versjoner av serveroperativsystemet, men ikke i andre Windows-versjoner. Den kan utnyttes dersom serveren er satt opp som DNS-server for et nettverk. Da kan sårbarheten utnyttes til å fjernkjøre kode i konteksten til Local System Account ved å sende spesielt utformede forespørsler til serveren. 

Local System Account er en konto med større privilegier i systemet enn vanlige brukerkontoer, noe som ifølge Check Point Research, som oppdaget sårbarheten, gjør at angriperen kan oppnå rettigheter som Domain Administrator. 

– Landets helsevirksomheter og landets kommuner kan være trygge på at vi er tilgjengelige, skriver Jostein Jensen, sikkerhetsdirektør Norsk helsenett og Gunnar A. Johansen, avdelingsdirektør HelseCERT og KommuneCERT, i dette tilsvaret.
Les også

Vi ruster opp det digitale brannvesenet – det er ikke glemt

«SigRed»

Microsoft ble informert om sårbarheten den 19. mai i år. Check Point Research kaller den for «SigRed», oppkalt etter funksjonen SigWireRead i programvaren dns.exe. Ifølge Check Point håndterer funksjonen responstypen SIG (signatur).

Sårbarheten er skyldes en heltalls overflytsfeil som leder til en heap-basert buffer-overflytsfeil. Den kan utnyttes gjennom litt kreativ bruk av DNS-responser med overdrevent mye data. Teknikken er nærmere beskrevet i dette blogginnlegget.

Smugling via HTTP

I utgangspunktet avhenger slik utnyttelse av at angriperen allerede har fotfeste i lokalnettet som DNS-serveren betjener. Men sikkerhetsforskerne hos Check Point Research har også funnet en teknikk som åpner for fjerntilgang. Den dreier seg om å smugle DNS-meldinger inne i HTTP. 

Fordi Windows DNS Server støtter DNS også over TCP (i tillegg til UDP), er det mulig for en angriper å lokke en person på innsiden av lokalnettet til å åpne en ondsinnet webside, som via brukerens nettleser kan sende en HTTP POST-forespørsel med en innbakt DNS-spørring til den interne DNS-serveren med å bruke TCP-port 53. 

Angrepet forutsetter at brukeren benytter en nettleser som støtter HTTP-forespørsler over TCP-port 53. Ifølge Check Point Research tillater ikke nettlesere som Chrome og Firefox dette, men Internet Explorer og EdgeHTML-baserte Edge har ikke slike restriksjoner. 

Et slikt HTTP-basert angrep avhenger dog av samhandling med en bruker, og inngår dermed ikke i det som skal gjøre det mulig for ormer å utnytte sårbarheten. 

I det hele tatt nevner Check Point Research i liten grad muligheten for ormer. Det er Microsoft selv som har påpekt den muligheten, uten å gå i detalj. 

Elektronisk Forpost Norge, her ved nestleder Bjørn Remseth, mener norske politikere forsøker å innføre DNS-blokkering av pengespill uten å skjønne hva det innebærer.
Les også

Er regjeringen redd for kunnskap?

Alternativ løsning

Check Point Research opplyser at selskapet på forespørsel fra Microsoft har holdt tilbake noen detaljer om hvordan angrepene kan utføres. Dette for å gi de berørte systemadministratorene tid til å patche systemene. 

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Store muligheter for norsk design i USA
Store muligheter for norsk design i USA

– Vi mener at en besluttsom angriper vil kunne utnytte sårbarheten. Vellykket utnyttelse av denne sårbarheten vil ha alvorlig innvirkning, siden du ofte finner Windows Domain-miljøer som ikke er patchet, spesielt domenekontrollere. I tillegg kan noen internettilbydere til og med ha satt opp sine offentlige DNS-servere som WinDNS, skriver sikkerhetsforskerne i blogginnlegget. 

Det er ikke kjent at sårbarheten har blitt utnyttet i angrep, men det anbefales at man installerer sikkerhetsoppdateringen så raskt som mulig. Dersom dette ikke er aktuelt, finnes det en midlertidig løsning som eliminerer sårbarheten, nemlig å sette maksimumslengden til DNS-meldinger over TCP til 0xFF00. Dette gjøres ifølge Microsoft med følgende to kommandoer:

Vis mer
Check Point har publisert ny skadevarerapport, og den har en farlig nykommer på listen.
Les også

Farlig skadevare tilbake for fullt i Norge

Les mer om:
DNSSÅRBARHETERSIKKERHETWINDOWS SERVER
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Direktoratet for høyere utdanning og kompetanse
Seniorrådgiver
Direktoratet for høyere utdanning og kompetanse
Bergen
15. mai
    En tjeneste fra