Kritieke kwetsbaarheid in Windows Server DNS

Kritieke kwetsbaarheid in Windows Server DNS belooft grote problemen deze zomer

Gisterenavond heeft Microsoft in haar maandelijkse updateronde een update uitgebracht die een kritieke kwetsbaarheid adresseert voor DNS-servers; CVE-2020-1350. Wij vinden dat deze SIGred-kwetsbaarheid de potentie heeft om grote problemen te veroorzaken deze zomer.

We zien de ingrediënten voor een perfecte storm. Immers, dit is een update die wordt uitgebracht in onze zomervakantieperiode, waardoor bij veel organisaties de beheerlast hoger ligt. Daarnaast zien we de potentie dat deze kwetsbaarheid via malware kan worden misbruikt. Thuiswerkende collega’s die hun geïnfecteerde apparaat meebrengen naar kantoor of via VPN verbinding maken, kunnen nu de DNS-implementatie om zeep helpen. Nog niet alle anti-malwareoplossingen zullen in staat zijn om gelijk de malware te detecteren. En tot slot zien we dat CheckPoint, de organisatie die de kwetsbaarheid ontdekte en keurig melde bij Microsoft, vandaag een Proof of Concept heeft opgeschreven, waarbij kwaadwillenden alleen nog maar de puntjes hoeven te verbinden.

Over DNS

Het gehele internet maakt gebruik van DNS om IP-adressen aan namen te koppelen. Er zijn maar weinig collega’s die uit hun hoofd weten dat scct.nl op IP-adres 188.166.47.111 luistert. DNS zorgt daarvoor door in een DNS-verzoek voor scct.nl het IP-adres te retourneren. Ook op interne netwerken wordt veelvuldig DNS gebruikt. Een populaire uitspraak is dat DNS de achilleshiel is van Active Directory. Ook zonder Active Directory wordt DNS overigens ingezet.

Over de kwetsbaarheid

Een kwaadwillende kan met een aangepast DNS-verzoek de DNS server om de tuin leiden. Vervolgens kan de kwaadwillende zijn eigen commando’s uitvoeren met de allerhoogste rechten binnen Windows Server. Microsoft geeft aan dat de kwetsbaarheid de potentie heeft om zonder tussenkomst van eindgebruikers door malware te worden misbruikt. Dit doet denken aan eerdere kwetsbaarheden in SMB en IIS, die respectievelijk in 2017 voor een ransomware-golf zorgde en in 2003 voor veel hoofdpijn zorgde. De kwetsbaarheid die nu is geadresseerd is een kwetsbaarheid die al heel lang in Windows Server aanwezig is. Alle Windows Server-versies zijn kwetsbaar. Microsoft heeft de ondersteuning op 14 januari van dit jaar gestopt voor Windows Server 2008 en Windows Server 2008 R2. Echter, de kwetsbaarheid noopt hen om toch ook een update voor deze besturingssystemen uit te brengen.

Call to action

We raden organisaties aan om zo snel mogelijk de updates te installeren, met de volgende rangschikking in urgentie:

Extern-gerichte DNS Servers

Uit een recente Project Sonar-scan komt naar voren dat ruim 49000 Windows Server-gebaseerde DNS-servers verzoeken vanaf het Internet verwerken. Als uw organisatie dit soort servers beheert, dan is het zaak om deze Windows Servers zo snel mogelijk van de update te voorzien.

Domain Controllers

Iedere organisatie die Active Directory gebruikt met DNS, dient de Domain Controllers zo snel mogelijk van de updates te voorzien. We zien bij organisatie dat dit soort zaken worden opgepakt in verplichte onderhoudsvensters. Sommige organisaties hebben geluk dat ze dit weekend al een gepland onderhoudsvenster hebben, maar binnen andere organisaties dient de aanvraag voor een onderhoudsvenster in drievoud te worden ingediend om over drie weken een onderhoudsvenster te kunnen bemachtigen. Voor deze situatie heeft Microsoft een tijdelijke workaround gedeeld, waarbij de grote aanvalsroute wordt afgezet.

De volgende drie regels Windows PowerShell in een Windows PowerShell-scherm met beheerdersrechten zorgen voor minder kwetsbaarheid. We schatten de niet-beschikbaarheid van de DNS-implementatie per server in op 10 seconden:

$RegPath = "HKLM:\SYSTEM\CurrentControlSet\Services\DNS\Parameters"
New-ItemProperty -Path $RegPath -Name TcpReceivePacketSize -Value 0xFF00 -PropertyType DWORD
Restart-Service DNS

Interne DNS-servers

Mocht DNS in gebruik zijn op niet-Domain Controllers, dan dienen deze Windows Server-installaties ook van de updates te worden voorzien. We zien dit soort implementaties vaak in afgeschermde perimeternetwerken.

Ben ik kwetsbaar?

U kunt zichzelf nu afvragen of u kwetsbaar bent. Wanneer u Windows Server gebruikt in uw netwerkinfrastructuur als DNS-server, dan bent u kwetsbaar. Maakt u gebruik van andersoortige DNS-servers, zoals Infoblox of BIND DNS, dan bent u niet kwetsbaar. De kwetsbaarheid is geen onderdeel van het DNS-protocol, maar van de DNS-serverimplementatie die door Microsoft is geschreven.

Wilt u meer weten?

Wilt u meer weten over deze kwetsbaarheid of heeft u hulp nodig bij het oplossen hiervan? Neem dan contact met ons op. Wij helpen u graag verder.