• Security Incident?
  • +31 88 000 2000
  • +31 88 000 2020
  • support@access42.nl
Access42 logoAccess42 logoAccess42 logoAccess42 logo
  • HOME
  • DIENSTEN
    • CYBER DEFENSE CENTER
      • Prepare
      • Detect
      • Prevent
      • Respond
      • Predict
    • DIENSTEN
      • Incident Response
      • Penetratietest (Pentest)
      • Red Teaming aanval
      • Cyber Security Assessment (CSA)
    • MANAGED SERVICES / OPLOSSINGEN
      • Nessus
      • CyberTIM
      • Container Security CSI.2030
      • Vulnerability Management
        • Vulnerability Management
        • Web App Scanning
        • OT Security
      • Phishing & Triage
      • Brand Exploit Protect
      • E-Mail Security, Continuity & Archiving
        • E-mail Security 3.0
      • Endpoint Detection & Response (EDR)
      • Netwerk Detectie & Response (NDR)
        • Klaar om de controle over Microsoft (Office) 365-beveiliging terug te nemen?
        • AI-powered netwerk detectie en response
      • Thycotic – Privileged Access Management
      • Security Monitoring / SOC
  • ACCESS42
    • Over ons
    • Werken bij Access42
    • Partners
    • Disclaimer & Privacy Policy
  • EVENTS
  • NIEUWS
    • COVID-19
    • Nieuws
  • CONTACT
    • Contact
    • Incident Response
    • Inschrijven Nieuwsbrief
BUY NESSUS
  • Home
  • Nieuws
  • Nieuws
  • CVE-2020-1350: Wormable Remote Code Execution Vulnerability in Windows DNS Server Disclosed (SIGRed)

CVE-2020-1350: Wormable Remote Code Execution Vulnerability in Windows DNS Server Disclosed (SIGRed)

15 juli 2020
Categories
  • Nieuws
Tags

Onderzoekers onthullen een 17-jarige “wormable” fout in Windows DNS-servers. Organisaties wordt sterk aangeraden om zo snel mogelijk patches uit te rollen.

Update 17 juli 2020, de secties Proof of Concept en Oplossing zijn bijgewerkt om de beschikbaarheid van proof of concept-scripts en de beschikbaarheid van een audit file voor Tenable-producten weer te geven.

Achtergrond

Op 14 juli j.l. heeft Microsoft een patch uitgebracht voor een kritieke kwetsbaarheid in Windows Domain Name System (DNS) Server. Deze patch is onderdeel van Patch Tuesday voor juli 2020. De kwetsbaarheid werd aan Microsoft bekendgemaakt door Sagi Tzadik en Eyal Itkin, onderzoekers van Check Point Research, die deze kwetsbaarheid de naam “SIGRed.” hebben gegeven. Volgens de onderzoekers bestaat de kwetsbaarheid al 17 jaar in Windows DNS Server. Microsoft heeft een eigen blogpost over de fout gepubliceerd, waarbij ze waarschuwt dat ze het als “wormable” beschouwen.

Analyse

CVE-2020-1350 is een kritische kwetsbaarheid voor het uitvoeren van externe code (RCE) in Windows DNS-servers door de onjuiste behandeling van DNS-verzoeken. De kwetsbaarheid kreeg een CVSSv3 score van 10.0, de hoogst mogelijke score. Om dit beveiligingslek te misbruiken, zou een aanvaller een kwaadwillig verzoek naar een kwetsbare Windows DNS-server sturen. Succesvolle exploitatie zou de aanvaller willekeurige rechten voor het uitvoeren van (kwaadaardige) code geven binnen de context van het lokale systeemaccount. Microsoft waarschuwt dat systemen die gevaar lopen ‘Windows-servers’ zijn die ‘geconfigureerd zijn als DNS-servers’.

2e grote wormable fout die dit jaar wordt gepatched

In maart van dit jaar bracht Microsoft patches uit voor CVE-2020-0796, een wormable RCE-kwetsbaarheid in Microsoft Server Message Block 3.1.1, bekend als EternalDarkness of SMBGhost. Hoewel we SMBGhost nog niet op een wormable manier hebben zien gebruiken, markeert SIGRed de tweede wormable Microsoft kwetsbaarheid die dit jaar is gepatcht.

SIGRed kan worden geactiveerd via de browser

Onderzoekers van CheckPoint ontdekten dat ze de kwetsbaarheid op afstand konden activeren via een webbrowser. Dit is gedaan door een DNS-query in een HTTP-verzoek te “smokkelen” als onderdeel van de POST data. Dit beveiligingslek kan echter alleen worden misbruikt door browsers die HTTP-verzoeken accepteren via de standaard DNS-poort (53), waaronder Internet Explorer en Microsoft Edge-versies die geen Chromium gebruiken.

Als onderdeel van een demonstratie laten CheckPoint onderzoekers zien hoe ze het beveiligingslek kunnen veroorzaken door een link naar een gebruiker in een e-mail te sturen, die bij opening de DNS-query binnen het HTTP-verzoek zou smokkelen.

Proof of Concept

Op het moment dat dit blogbericht werd gepubliceerd, was er nog geen werkende proof-of-concept (PoC) code beschikbaar voor deze kwetsbaarheid. We hebben echter ten minste één nep PoC gezien die gebruikers “Rickrolls“. In het verleden hebben we ook enkele kwaadaardige scripts waargenomen die zich voordoen als PoC’s die worden gepubliceerd op GitHub. We raden ten zeerste aan voorzichtig te zijn bij het omgaan met vermeende PoC’s.

Sinds CVE-2020-1350 op 14 juli openbaar werd gemaakt, zijn PoC’s gepubliceerd op GitHub, inclusief scripts om de mitigatie instructies toe te passen die worden vermeld in de sectie Oplossing, evenals een paar scripts [1, 2] die de fout misbruiken om een denial of service veroorzaken.

Oplossing

Microsoft heeft patches uitgebracht om SIGRed aan te pakken in verschillende Windows Server-releases. Ondanks dat Windows Server 2008 in januari 2020 het einde van zijn levensduur bereikt, heeft Microsoft beveiligingspatches gepubliceerd om te voorkomen dat niet-ondersteunde systemen worden aangetast door een potentiële worm.

Wij raden iedereen aan om zo snel mogelijk de patches uit te rollen.

ArticleProductsKB
4565536Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)		KB4565536
4565529Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core)		KB4565529
4565524Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)		KB4565524
4565539Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core)		KB4565539
4565537Windows Server 2012
Windows Server 2012 (Server Core)		KB4565537
4565535Windows Server 2012
Windows Server 2012 (Server Core)		KB4565535
4565541Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)		KB4565541
4565540Windows Server 2012 R2
Windows Server 2012 R2 (Server Core)		KB4565540
4565511Windows Server 2016
Windows Server 2016 (Server Core)		KB4565511
4558998Windows Server 2019
Windows Server 2019 (Server Core)		KB4558998
4565483Windows Server, version 1903 (Server Core)
Windows Server, version 1909 (Server Core)		KB4565483
4565503Windows Server, version 2004 (Server Core)KB4565503

Als het uitrollen van deze patches momenteel niet mogelijk is, heeft Microsoft een tijdelijke oplossing geboden via een wijziging in het Windows-register:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00

Om deze wijzigingen door te voeren, moet de DNS-service opnieuw worden opgestart.

Microsoft raadt aan de tijdelijke oplossing te verwijderen nadat patches zijn aangebracht.

Op 17 juli heeft het Tenable audit- en complianceteam een ​​audit file vrijgegeven voor Tenable-producten dat zal detecteren of de mitigerende maatregel al dan niet is toegepast op assets.

Als een target wordt gescand, dan levert dit het volgende resultaat:

Als de register wijziging is toegepast, geeft de audit een “PASSED” -waarde onder het tabblad Compliance, anders geeft deze een “FAILED” -waarde terug.

Kwetsbare systemen identificeren

Wij kunnen helpen met het identificeren van kwetsbare systemen. Als u al gebruik maakt van Tenable (Nessus, SecurityCenter of IO), dan is er een lijst van plugins beschikbaar om de kwetsbaarheid te detecteren. Deze lijst wordt ge-update.

Meer informatie

  • Microsoft Advisory for CVE-2020-1350
  • Check Point Research Blog for SIGRed (CVE-2020-1350)
Delen
0

Related posts

15 oktober 2020

Multi-layered Threat Protect & Shared Intelligence

Read more
14 oktober 2020

“Bad Neighbor” Kwetsbaarheid CVE-2020-16898

Read more
14 oktober 2020

CVE-2020-1472: Geavanceerde Persistent Threat Actors gebruiken Zerologon kwetsbaarheid in Exploit Chain met niet gepatchte kwetsbaarheden.

Read more

Access42 B.V.
Leusderend 38
3832RC LEUSDEN

CyberDefense Center
  • Prepare
  • Detect
  • Prevent
  • Respond
  • Predict
Diensten
  • Phishing as a Service
  • Penetratietesten
  • Red Teaming
  • Nessus
  • Container Security
  • OT Security
  • Vulnerability Management
  • Endpoint Security
  • AI-powered network detection and response
  • E-mail security
  • Privileged Access Management
  • Alle Diensten
Over ons
  • Over Access42
  • Kernwaarden
  • Missie en Visie
  • Werken bij Access42
  • Partners
  • Disclaimer en Privacy Policy
  • Responsible Disclosure
Get in touch

© 2020 Access42 | Cybersecurity. All Rights Reserved.



Download de gratis whitepaper!

 

    Inschrijven Webinar Vectra


      Inschrijving Webinar Cofense


        Inschrijven Webinar CrowdStrike


          Start de Mimecast Service vandaag nog!


            Start met de Cognito Detect for Microsoft 365 Free Service


              Download de Tenable.OT Solution Brief

              Name *

              Email *


              Prijslijst aanvragen

               


                Meer weten over onze diensten?