В прошлом году эксперты компании Check Point обнаружили критическую уязвимость в составе Windows DNS Server, получившую кодовое имя SigRed и идентификатор CVE-2020-1350. Уязвимость набрала 10 баллов из 10 возможных по шкале оценки уязвимостей CVSSv3. Такой рейтинг означает, что ошибка крайне проста в использовании, и ее эксплуатация почти не требует технических знаний. Также уязвимость может быть использована для автоматизированных удаленных атак и не требует предварительной аутентификации.

Так как баг существовал в коде 17 лет, проблема представляла опасность для всех версий Windows Server, выходивших с 2003 по 2019 год. Для эксплуатации бага хакер мог отправлять вредоносные DNS-запросы к DNS-серверам Windows, что влекло за собой выполнение произвольного кода и могло привести к компрометации всей инфраструктуры.

Уязвимость была исправлена в прошлом году, в рамках июльского «вторника обновлений».

Теперь ведущий ИБ-специалист компании Grapl Валентина Пальмиотти (Valentina Palmiotti) представила PoC-эксплоит для SIGRed, а также опубликовала подробный отчет о его работе, где она также поясняет, как создавать правила SIEM для обнаружения эксплуатации SIGRed.

«При бережном использовании злоумышленники могут удаленно выполнить код в уязвимой системе и получить права администратора домена, поставив под угрозу всю корпоративную инфраструктуру», — пишет специалистка в отчете.

Эксплоит Пальмиотти был успешно протестирован (1, 2) на непропатченных 64-битных версиях Windows Server 2019, 2016, 2012R2 и 2012. Видеодемонстрацию атаки можно увидеть ниже.


Нужно отметить, что эксплоиты для SIGRed появлялись и ранее, однако те версии были способны лишь спровоцировать отказ в обслуживании (DoS).

Оставить мнение