В прошлом году эксперты компании Check Point обнаружили критическую уязвимость в составе Windows DNS Server, получившую кодовое имя SigRed и идентификатор CVE-2020-1350. Уязвимость набрала 10 баллов из 10 возможных по шкале оценки уязвимостей CVSSv3. Такой рейтинг означает, что ошибка крайне проста в использовании, и ее эксплуатация почти не требует технических знаний. Также уязвимость может быть использована для автоматизированных удаленных атак и не требует предварительной аутентификации.
Так как баг существовал в коде 17 лет, проблема представляла опасность для всех версий Windows Server, выходивших с 2003 по 2019 год. Для эксплуатации бага хакер мог отправлять вредоносные DNS-запросы к DNS-серверам Windows, что влекло за собой выполнение произвольного кода и могло привести к компрометации всей инфраструктуры.
Уязвимость была исправлена в прошлом году, в рамках июльского «вторника обновлений».
Теперь ведущий ИБ-специалист компании Grapl Валентина Пальмиотти (Valentina Palmiotti) представила PoC-эксплоит для SIGRed, а также опубликовала подробный отчет о его работе, где она также поясняет, как создавать правила SIEM для обнаружения эксплуатации SIGRed.
My first ever blog post: Anatomy of an Exploit: RCE CVE-2020-1350 #SIGRed. RCE PoC included, for research purposes. This was my first userland Windows heap exploit and I hope a deep dive into the process will help others. Patch or apply the workaround. https://t.co/CFRTs7Wdvs
— chompie (@chompie1337) March 2, 2021
«При бережном использовании злоумышленники могут удаленно выполнить код в уязвимой системе и получить права администратора домена, поставив под угрозу всю корпоративную инфраструктуру», — пишет специалистка в отчете.
Эксплоит Пальмиотти был успешно протестирован (1, 2) на непропатченных 64-битных версиях Windows Server 2019, 2016, 2012R2 и 2012. Видеодемонстрацию атаки можно увидеть ниже.
Нужно отметить, что эксплоиты для SIGRed появлялись и ранее, однако те версии были способны лишь спровоцировать отказ в обслуживании (DoS).
