Xakep #305. Многошаговые SQL-инъекции
В мае текущего года специалисты компании Check Point обнаружили критическую уязвимость в составе Windows DNS Server, получившую кодовое имя SigRed и идентификатор CVE-2020-1350. Уязвимость получила 10 баллов из 10 возможных по шкале оценки уязвимостей CVSSv3. Такой рейтинг означает, что ошибка крайне проста в использовании, и ее эксплуатация почти не требует технических знаний. Также уязвимость может быть использована для автоматизированных удаленных атак и не требует предварительной аутентификации.
Так как уязвимость существовала в коде 17 лет, проблема представляет опасность для всех версий Windows Server, выходивших с 2003 по 2019 год.
Эксперты Check Point пишут, что для эксплуатации бага хакер может отправлять вредоносные DNS-запросы к DNS-серверам Windows, что повлечет за собой выполнение произвольного кода и может привести к компрометации всей инфраструктуры.
Корень проблемы заключается в том, как DNS-сервер Windows анализирует входящие DNS-запросы, а также как обрабатывает переадресованные DNS-запросы. В частности, отправка ответа с SIG более 64 КБ может провоцировать управляемое переполнение буфера хипа, выполнение вредоносного кода, и в итоге позволит хакеру захватить контроль над сервером.
Так как служба обладает повышенными привилегиями (SYSTEM), в случае ее компрометации злоумышленник получит права администратора домена. В итоге он сможет перехватывать сетевой трафик, отключать службы, собирать пользовательские учетные данные и так далее. Хуже того, сообщается, что в ряде случаев уязвимость можно использовать и через браузер.
В настоящее время некоторые технические детали в отчете Check Point опущены по просьбе Microsoft, чтобы дать пользователям дополнительное время на установку патчей. Поскольку проблема присутствовала в коде так много лет, эксперты не исключают вероятности того, что ее уже применяли злоумышленники (хотя пока приямых доказательств этого нет).
Сама Microsoft предупреждает, что Windows DNS Server – это ключевой сетевой компонент, а уязвимость обладает потенциалом червя, то есть может распространять малварь между уязвимыми устройствами автоматически, без какого-либо вмешательства пользователя.
«Один единственный эксплоит может запустить цепную реакцию, благодаря которой атаки будут распространяться с одной уязвимой машины на другую без вмешательства человека. Это значит, что всего одна взломанная машина может выступать “суперраспространителем”, что позволит атаке распространиться по всей сети организации всего за несколько минут после первой компрометации», — гласит отчет Check Point.
Вчера, в рамках июльского «вторника обновлений» Microsoft уже устранила эту проблему, и теперь всем пользователям рекомендуется установить исправления как можно скорее, так как аналитики опасаются скорого появления эксплоитов для этого бага. Также специалисты Microsoft и Check Point отмечают, что если по какой-то причине установка патчей невозможна, то следует внести изменение в реестр и ограничить максимальную длину DNS-сообщения посредством TCP на 0xFF00, чтобы исключить вероятность переполнения буфера.