Poważna luka w Windows Server. SigRed istnieje od 2003 roku

16 lipca 202016 lipca 2020 Marcin Kaczmarek Check Point, cyberbezpieczeństwo, DNS, luki bezpieczeństwa, luki i łaty, SigRed, Windows, Windows Server

Luka w Windows Server nazwana SigRed umożliwia hakerowi tworzenie złośliwych zapytań DNS do serwerów systemu Windows, co pozwala na uruchomienie dowolnego kodu. Microsoft przypisał podatności najwyższy możliwy wskaźnik ryzyka (CVSS:10.0).

Check Point Research już 19 maja poinformował o swoich odkryciach firmę Microsoft, która przygotowała odpowiednią łątkę nazwaną Patch Tuesday (opublikowaną 14 lipca). Microsoft przypisał podatności najwyższy możliwy wskaźnik ryzyka (CVSS:10.0), stąd koniecznym jest jak najszybsza aktualizacja systemów.

Omri Herscovici, szef działu wykrywania podatności w Check Point, alarmuje: mamy do czynienia z naprawdę poważnym zagrożeniem.

Naruszenie serwera DNS jest sprawą bardzo poważną. W większości przypadków atakujący znajduje się zaledwie jeden krok od naruszenia całej organizacji. Istnieje jedynie kilka takich typów luk w zabezpieczeniach, które kiedykolwiek wykryto. Każda organizacja korzystająca z infrastruktury Microsoft, jest poważnie zagrożona, jeśli nie zdecyduje się na załatanie podatności. Ryzyko wiąże się bowiem z możliwością całkowitego naruszenia całej sieci korporacyjnej. Luka ta występuje w kodzie Microsoft od ponad 17 lat, więc skoro my ją wykryliśmy, istnieje możliwość, że ktoś inny dokonał tego wcześniej.

Luka SigRed może być znana cyberprzestępcom i być aktywnie wykorzystywana, zalecane jest więc jak najszybsze zainstalowanie niezbędnych poprawek udostępnionych przez Microsoft.

Uważamy, że usunięcie luki powinno być najwyższym priorytetem dla administratorów serwerów. Nie jest to kolejna zwykła luka. Należy ją załatać, by uchronić organizacje przed kolejną cyber-pandemią.

SigRed: krytyczna luka w Windows Server. Ma 17 lat

Specjaliści z Check Point, którzy odkryli zagrożenie i przekazali o nim informację do Microsoftu, zarysowali skalę zagrożenia:

Co więcej, luka została opisana jako „robakowa”, co oznacza, że pojedynczy exploit może uruchomić reakcję łańcuchową, która pozwala na rozprzestrzenianie się ataków z podatnej maszyny na kolejną podatną maszynę bez konieczności interakcji ze strony człowieka. Oznacza to, że pojedyncza zainfekowana maszyna może stać się „super-rozprzestrzeniaczem”, umożliwiającym dalsze rozprzestrzenienie się ataku w sieciach organizacji w ciągu kilku minut od pierwszego jej wykorzystania.

Serwery DNS są obecne w każdej organizacji, a jeśli zostaną wykorzystane przez cyberprzestępcę, pozwalają nadać prawa administratora domeny za pośrednictwem serwera, umożliwiając atakującemu przechwytywanie oraz manipulowanie wiadomościami e-mail czy ruchem sieciowym. Pozwala to m.in. na zablokowanie dostępu do usług oraz zbieranie poświadczeń użytkowników. W efekcie haker może przejąć całkowitą kontrolę nad działem IT firmy.