Update 17 juli 2020, de secties Proof of Concept en Oplossing zijn bijgewerkt om de beschikbaarheid van proof of concept-scripts en de beschikbaarheid van een audit file voor Tenable-producten weer te geven.
Op 14 juli j.l. heeft Microsoft een patch uitgebracht voor een kritieke kwetsbaarheid in Windows Domain Name System (DNS) Server. Deze patch is onderdeel van Patch Tuesday voor juli 2020. De kwetsbaarheid werd aan Microsoft bekendgemaakt door Sagi Tzadik en Eyal Itkin, onderzoekers van Check Point Research, die deze kwetsbaarheid de naam “SIGRed.” hebben gegeven. Volgens de onderzoekers bestaat de kwetsbaarheid al 17 jaar in Windows DNS Server. Microsoft heeft een eigen blogpost over de fout gepubliceerd, waarbij ze waarschuwt dat ze het als “wormable” beschouwen.
CVE-2020-1350 is een kritische kwetsbaarheid voor het uitvoeren van externe code (RCE) in Windows DNS-servers door de onjuiste behandeling van DNS-verzoeken. De kwetsbaarheid kreeg een CVSSv3 score van 10.0, de hoogst mogelijke score. Om dit beveiligingslek te misbruiken, zou een aanvaller een kwaadwillig verzoek naar een kwetsbare Windows DNS-server sturen. Succesvolle exploitatie zou de aanvaller willekeurige rechten voor het uitvoeren van (kwaadaardige) code geven binnen de context van het lokale systeemaccount. Microsoft waarschuwt dat systemen die gevaar lopen ‘Windows-servers’ zijn die ‘geconfigureerd zijn als DNS-servers’.
In maart van dit jaar bracht Microsoft patches uit voor CVE-2020-0796, een wormable RCE-kwetsbaarheid in Microsoft Server Message Block 3.1.1, bekend als EternalDarkness of SMBGhost. Hoewel we SMBGhost nog niet op een wormable manier hebben zien gebruiken, markeert SIGRed de tweede wormable Microsoft kwetsbaarheid die dit jaar is gepatcht.
Onderzoekers van CheckPoint ontdekten dat ze de kwetsbaarheid op afstand konden activeren via een webbrowser. Dit is gedaan door een DNS-query in een HTTP-verzoek te “smokkelen” als onderdeel van de POST data. Dit beveiligingslek kan echter alleen worden misbruikt door browsers die HTTP-verzoeken accepteren via de standaard DNS-poort (53), waaronder Internet Explorer en Microsoft Edge-versies die geen Chromium gebruiken.
Als onderdeel van een demonstratie laten CheckPoint onderzoekers zien hoe ze het beveiligingslek kunnen veroorzaken door een link naar een gebruiker in een e-mail te sturen, die bij opening de DNS-query binnen het HTTP-verzoek zou smokkelen.
Op het moment dat dit blogbericht werd gepubliceerd, was er nog geen werkende proof-of-concept (PoC) code beschikbaar voor deze kwetsbaarheid. We hebben echter ten minste één nep PoC gezien die gebruikers “Rickrolls“. In het verleden hebben we ook enkele kwaadaardige scripts waargenomen die zich voordoen als PoC’s die worden gepubliceerd op GitHub. We raden ten zeerste aan voorzichtig te zijn bij het omgaan met vermeende PoC’s.
Sinds CVE-2020-1350 op 14 juli openbaar werd gemaakt, zijn PoC’s gepubliceerd op GitHub, inclusief scripts om de mitigatie instructies toe te passen die worden vermeld in de sectie Oplossing, evenals een paar scripts [1, 2] die de fout misbruiken om een denial of service veroorzaken.
Microsoft heeft patches uitgebracht om SIGRed aan te pakken in verschillende Windows Server-releases. Ondanks dat Windows Server 2008 in januari 2020 het einde van zijn levensduur bereikt, heeft Microsoft beveiligingspatches gepubliceerd om te voorkomen dat niet-ondersteunde systemen worden aangetast door een potentiële worm.
Wij raden iedereen aan om zo snel mogelijk de patches uit te rollen.
Article | Products | KB |
---|---|---|
4565536 | Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core) Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core) | KB4565536 |
4565529 | Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core) Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core) | KB4565529 |
4565524 | Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core) | KB4565524 |
4565539 | Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core) | KB4565539 |
4565537 | Windows Server 2012 Windows Server 2012 (Server Core) | KB4565537 |
4565535 | Windows Server 2012 Windows Server 2012 (Server Core) | KB4565535 |
4565541 | Windows Server 2012 R2 Windows Server 2012 R2 (Server Core) | KB4565541 |
4565540 | Windows Server 2012 R2 Windows Server 2012 R2 (Server Core) | KB4565540 |
4565511 | Windows Server 2016 Windows Server 2016 (Server Core) | KB4565511 |
4558998 | Windows Server 2019 Windows Server 2019 (Server Core) | KB4558998 |
4565483 | Windows Server, version 1903 (Server Core) Windows Server, version 1909 (Server Core) | KB4565483 |
4565503 | Windows Server, version 2004 (Server Core) | KB4565503 |
Als het uitrollen van deze patches momenteel niet mogelijk is, heeft Microsoft een tijdelijke oplossing geboden via een wijziging in het Windows-register:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00
Om deze wijzigingen door te voeren, moet de DNS-service opnieuw worden opgestart.
Microsoft raadt aan de tijdelijke oplossing te verwijderen nadat patches zijn aangebracht.
Op 17 juli heeft het Tenable audit- en complianceteam een audit file vrijgegeven voor Tenable-producten dat zal detecteren of de mitigerende maatregel al dan niet is toegepast op assets.
Als een target wordt gescand, dan levert dit het volgende resultaat:
Als de register wijziging is toegepast, geeft de audit een “PASSED” -waarde onder het tabblad Compliance, anders geeft deze een “FAILED” -waarde terug.
Wij kunnen helpen met het identificeren van kwetsbare systemen. Als u al gebruik maakt van Tenable (Nessus, SecurityCenter of IO), dan is er een lijst van plugins beschikbaar om de kwetsbaarheid te detecteren. Deze lijst wordt ge-update.
Cookie | Duration | Description |
---|---|---|
_GRECAPTCHA | 5 months 27 days | This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis. |
cookielawinfo-checkbox-advertisement | 1 year | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement". |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie. |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
Cookie | Duration | Description |
---|---|---|
bcookie | 2 years | This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page. |
lang | session | This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website. |
lidc | 1 day | This cookie is set by LinkedIn and used for routing. |
Cookie | Duration | Description |
---|---|---|
YSC | session | This cookies is set by Youtube and is used to track the views of embedded videos. |
Cookie | Duration | Description |
---|---|---|
_ga | 2 years | This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors. |
_gat_gtag_UA_116473530_1 | 1 minute | This cookie is set by Google and is used to distinguish users. |
_gat_UA-116473530-1 | 1 minute | This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites. |
_gid | 1 day | This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form. |
Cookie | Duration | Description |
---|---|---|
bscookie | 2 years | This cookie is a browser ID cookie set by Linked share Buttons and ad tags. |
IDE | 1 year 24 days | Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile. |
prism_476809757 | 1 month | Used by ActiveCampaign to track usage of newsletters |
test_cookie | 15 minutes | This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 5 months 27 days | This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the video preferences of the user using embedded YouTube video. |
yt-remote-device-id | never | YouTube sets this cookie to store the video preferences of the user using embedded YouTube video. |
Cookie | Duration | Description |
---|---|---|
AnalyticsSyncHistory | 1 month | No description |
CONSENT | 16 years 7 months 5 days 13 hours | No description |
li_gc | 2 years | No description |
UserMatchHistory | 1 month | Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences. |