Abonner
SÅRBARHETER

Frykter at 17 år gammel DNS-sårbarhet i Windows Server kan utnyttes av ormer

Kan gi full tilgang til datamaskinene i andres lokalnett.

Check Point har gått sterkt ut for å få oppmerksomhet om sårbarheten selskapet har oppdaget.
Check Point har gått sterkt ut for å få oppmerksomhet om sårbarheten selskapet har oppdaget. Illustrasjon: Check Point Research
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
15. juli 2020 - 10:07

Microsoft kom i går med sikkerhetsoppdateringer som til sammen fjerner over hundre sårbarheter i selskapets produkter. Flere av sårbarhetene har kritisk alvorlighetsgrad. Det innebærer stort sett at de åpner for fjernkjøring av vilkårlig kode i systemet. 

Blant alle disse er det én sårbarhet som har fått ekstra mye oppmerksomhet, også fra Microsoft selv. Det er en sårbarhet i Windows DNS Server som potensielt kan bli utnyttet av ormer, det vil si skadevare som sprer seg selv fra system til system uten brukerinteraksjon. Den er gitt 10,0 poeng i Common Vulnerability Scoring System (CVSS), noe som er den aller høyeste verdien.

Endelig kan det løsne for kryptert e-post, ifølge Per Thorsheim, sikkerhetskonsulent i Tietoevry.
Les også

Jubler over Microsoft-grep: – Får en vanvittig effekt for e-postsikkerheten

Artikkelen fortsetter etter annonsen
annonsørinnhold
HP Norge
Nye PC-er visker ut forskjellene mellom fysiske og virtuelle møter

Kun i Windows Server 2003 og nyere

Sårbarheten ble introdusert med Windows Server 2003 og finnes i alle nyere versjoner av serveroperativsystemet, men ikke i andre Windows-versjoner. Den kan utnyttes dersom serveren er satt opp som DNS-server for et nettverk. Da kan sårbarheten utnyttes til å fjernkjøre kode i konteksten til Local System Account ved å sende spesielt utformede forespørsler til serveren. 

Local System Account er en konto med større privilegier i systemet enn vanlige brukerkontoer, noe som ifølge Check Point Research, som oppdaget sårbarheten, gjør at angriperen kan oppnå rettigheter som Domain Administrator. 

Én manns frivillige innsats skal ha reddet dagen ved å oppdaget en subtil bakdør i Linux. Bildet viser operasjonssentralen til Nasjonalt cybersikkerhetssenter
Les også

Utvikler oppdaget Linux-bakdør: – Ville vært en global katastrofe

«SigRed»

Microsoft ble informert om sårbarheten den 19. mai i år. Check Point Research kaller den for «SigRed», oppkalt etter funksjonen SigWireRead i programvaren dns.exe. Ifølge Check Point håndterer funksjonen responstypen SIG (signatur).

Sårbarheten er skyldes en heltalls overflytsfeil som leder til en heap-basert buffer-overflytsfeil. Den kan utnyttes gjennom litt kreativ bruk av DNS-responser med overdrevent mye data. Teknikken er nærmere beskrevet i dette blogginnlegget.

Smugling via HTTP

I utgangspunktet avhenger slik utnyttelse av at angriperen allerede har fotfeste i lokalnettet som DNS-serveren betjener. Men sikkerhetsforskerne hos Check Point Research har også funnet en teknikk som åpner for fjerntilgang. Den dreier seg om å smugle DNS-meldinger inne i HTTP. 

Fordi Windows DNS Server støtter DNS også over TCP (i tillegg til UDP), er det mulig for en angriper å lokke en person på innsiden av lokalnettet til å åpne en ondsinnet webside, som via brukerens nettleser kan sende en HTTP POST-forespørsel med en innbakt DNS-spørring til den interne DNS-serveren med å bruke TCP-port 53. 

Angrepet forutsetter at brukeren benytter en nettleser som støtter HTTP-forespørsler over TCP-port 53. Ifølge Check Point Research tillater ikke nettlesere som Chrome og Firefox dette, men Internet Explorer og EdgeHTML-baserte Edge har ikke slike restriksjoner. 

Et slikt HTTP-basert angrep avhenger dog av samhandling med en bruker, og inngår dermed ikke i det som skal gjøre det mulig for ormer å utnytte sårbarheten. 

I det hele tatt nevner Check Point Research i liten grad muligheten for ormer. Det er Microsoft selv som har påpekt den muligheten, uten å gå i detalj. 

Steven Bos er nyslått doktor og har forsket på såkalt trinær databehandling, det vil si datamaskiner som ikke bare opererer med null og en, men har en tredje verdi i tillegg.
Les også

– Dette kan være en «game changer» for kunstig intelligens

Alternativ løsning

Check Point Research opplyser at selskapet på forespørsel fra Microsoft har holdt tilbake noen detaljer om hvordan angrepene kan utføres. Dette for å gi de berørte systemadministratorene tid til å patche systemene. 

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Derfor har norske bedrifter et unikt forsprang i India nå
Derfor har norske bedrifter et unikt forsprang i India nå

– Vi mener at en besluttsom angriper vil kunne utnytte sårbarheten. Vellykket utnyttelse av denne sårbarheten vil ha alvorlig innvirkning, siden du ofte finner Windows Domain-miljøer som ikke er patchet, spesielt domenekontrollere. I tillegg kan noen internettilbydere til og med ha satt opp sine offentlige DNS-servere som WinDNS, skriver sikkerhetsforskerne i blogginnlegget. 

Det er ikke kjent at sårbarheten har blitt utnyttet i angrep, men det anbefales at man installerer sikkerhetsoppdateringen så raskt som mulig. Dersom dette ikke er aktuelt, finnes det en midlertidig løsning som eliminerer sårbarheten, nemlig å sette maksimumslengden til DNS-meldinger over TCP til 0xFF00. Dette gjøres ifølge Microsoft med følgende to kommandoer:

Vis mer
KI-generert: Dette bildet skal angivelig vise Joe Biden i uniform, men er et av de mange falske bildene som er i omløp etter at Iran sendte hundrevis av missiler og droner mot Israel.
Les også

Falske bilder fikk over 37 millioner visninger

Les mer om:
DNSSÅRBARHETERSIKKERHETWINDOWS SERVER
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Equinor ASA
Software Architect
Equinor ASA
Oslo
5. aug.
    En tjeneste fra