CVE-2020-1350: Wormable Remote Code Execution Vulnerability in Windows DNS Server Disclosed (SIGRed)

Onderzoekers onthullen een 17-jarige “wormable” fout in Windows DNS-servers. Organisaties wordt sterk aangeraden om zo snel mogelijk patches uit te rollen.

Update 17 juli 2020, de secties Proof of Concept en Oplossing zijn bijgewerkt om de beschikbaarheid van proof of concept-scripts en de beschikbaarheid van een audit file voor Tenable-producten weer te geven.

Achtergrond

Op 14 juli j.l. heeft Microsoft een patch uitgebracht voor een kritieke kwetsbaarheid in Windows Domain Name System (DNS) Server. Deze patch is onderdeel van Patch Tuesday voor juli 2020. De kwetsbaarheid werd aan Microsoft bekendgemaakt door Sagi Tzadik en Eyal Itkin, onderzoekers van Check Point Research, die deze kwetsbaarheid de naam “SIGRed.” hebben gegeven. Volgens de onderzoekers bestaat de kwetsbaarheid al 17 jaar in Windows DNS Server. Microsoft heeft een eigen blogpost over de fout gepubliceerd, waarbij ze waarschuwt dat ze het als “wormable” beschouwen.

Analyse

CVE-2020-1350 is een kritische kwetsbaarheid voor het uitvoeren van externe code (RCE) in Windows DNS-servers door de onjuiste behandeling van DNS-verzoeken. De kwetsbaarheid kreeg een CVSSv3 score van 10.0, de hoogst mogelijke score. Om dit beveiligingslek te misbruiken, zou een aanvaller een kwaadwillig verzoek naar een kwetsbare Windows DNS-server sturen. Succesvolle exploitatie zou de aanvaller willekeurige rechten voor het uitvoeren van (kwaadaardige) code geven binnen de context van het lokale systeemaccount. Microsoft waarschuwt dat systemen die gevaar lopen ‘Windows-servers’ zijn die ‘geconfigureerd zijn als DNS-servers’.

2e grote wormable fout die dit jaar wordt gepatched

In maart van dit jaar bracht Microsoft patches uit voor CVE-2020-0796, een wormable RCE-kwetsbaarheid in Microsoft Server Message Block 3.1.1, bekend als EternalDarkness of SMBGhost. Hoewel we SMBGhost nog niet op een wormable manier hebben zien gebruiken, markeert SIGRed de tweede wormable Microsoft kwetsbaarheid die dit jaar is gepatcht.

SIGRed kan worden geactiveerd via de browser

Onderzoekers van CheckPoint ontdekten dat ze de kwetsbaarheid op afstand konden activeren via een webbrowser. Dit is gedaan door een DNS-query in een HTTP-verzoek te “smokkelen” als onderdeel van de POST data. Dit beveiligingslek kan echter alleen worden misbruikt door browsers die HTTP-verzoeken accepteren via de standaard DNS-poort (53), waaronder Internet Explorer en Microsoft Edge-versies die geen Chromium gebruiken.

Als onderdeel van een demonstratie laten CheckPoint onderzoekers zien hoe ze het beveiligingslek kunnen veroorzaken door een link naar een gebruiker in een e-mail te sturen, die bij opening de DNS-query binnen het HTTP-verzoek zou smokkelen.

Proof of Concept

Op het moment dat dit blogbericht werd gepubliceerd, was er nog geen werkende proof-of-concept (PoC) code beschikbaar voor deze kwetsbaarheid. We hebben echter ten minste één nep PoC gezien die gebruikers “Rickrolls“. In het verleden hebben we ook enkele kwaadaardige scripts waargenomen die zich voordoen als PoC’s die worden gepubliceerd op GitHub. We raden ten zeerste aan voorzichtig te zijn bij het omgaan met vermeende PoC’s.

Sinds CVE-2020-1350 op 14 juli openbaar werd gemaakt, zijn PoC’s gepubliceerd op GitHub, inclusief scripts om de mitigatie instructies toe te passen die worden vermeld in de sectie Oplossing, evenals een paar scripts [1, 2] die de fout misbruiken om een denial of service veroorzaken.

Oplossing

Microsoft heeft patches uitgebracht om SIGRed aan te pakken in verschillende Windows Server-releases. Ondanks dat Windows Server 2008 in januari 2020 het einde van zijn levensduur bereikt, heeft Microsoft beveiligingspatches gepubliceerd om te voorkomen dat niet-ondersteunde systemen worden aangetast door een potentiële worm.

Wij raden iedereen aan om zo snel mogelijk de patches uit te rollen.

Als het uitrollen van deze patches momenteel niet mogelijk is, heeft Microsoft een tijdelijke oplossing geboden via een wijziging in het Windows-register:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00

Om deze wijzigingen door te voeren, moet de DNS-service opnieuw worden opgestart.

Microsoft raadt aan de tijdelijke oplossing te verwijderen nadat patches zijn aangebracht.

Op 17 juli heeft het Tenable audit- en complianceteam een ​​audit file vrijgegeven voor Tenable-producten dat zal detecteren of de mitigerende maatregel al dan niet is toegepast op assets.

Als een target wordt gescand, dan levert dit het volgende resultaat:

Als de register wijziging is toegepast, geeft de audit een “PASSED” -waarde onder het tabblad Compliance, anders geeft deze een “FAILED” -waarde terug.

Kwetsbare systemen identificeren

Wij kunnen helpen met het identificeren van kwetsbare systemen. Als u al gebruik maakt van Tenable (Nessus, SecurityCenter of IO), dan is er een lijst van plugins beschikbaar om de kwetsbaarheid te detecteren. Deze lijst wordt ge-update.

Meer informatie

• Microsoft Advisory for CVE-2020-1350
• Check Point Research Blog for SIGRed (CVE-2020-1350)