Opgepast: Ernstige kwetsbaarheid in Windows DNS Server stelt uw bedrijf mogelijk bloot aan hacking (CVE-2020-1350)

Op dinsdag 14 juli maakten onderzoekers van Check Point bekend dat een kwetsbaarheid in de Windows Domain Name System (DNS) servers bedrijven kan blootstellen aan hacking van buitenaf. Microsoft heeft reeds een patch gepubliceerd via een kritieke Windows Update. Systeembeheerders wordt aangeraden deze update zo snel mogelijk te installeren.

De onderzoekers gaven deze kwetsbaarheid de naam SIGRed en Microsoft kende het de maximale CVSS-risicoscore van 10.0 toe. De kwetsbaarheid wordt opgevolgd als CVE-2020-1350.

Door een fout in de code zijn aanvallers code uit te voeren op uw server die de DNS-service host. Deze code wordt uitgevoerd met systeemrechten, waardoor een volledige overname van de DNS-server mogelijk is. Deze code is al 17 jaar aanwezig, waardoor alle Windows DNS Servers sinds versie 2013 kwetsbaar zijn.

Omdat veel organisaties de DNS-rol activeren op de Active Directory Domain Controller, ontstaat het risico op een volledige overname van uw volledige IT-netwerk.

Voor het uitbuiten van deze kwetsbaarheden volstaat het voor een aanvaller om een DNS-request uit te lokken naar een door hem/haar geconfigureerde Nameserver (NS) die met een kwaadwillig samengestelde DNS-response de fout in de code misbruikt. Het uitlokken van deze request kan bijvoorbeeld door middel van een afbeelding in een e-mail.

Bijkomende informatie over de patch van Microsoft is te vinden op het Microsoft Security Response Center.

Indien U bijkomende vragen hebt rond deze kwetsbaarheid of assistentie wenst bij het nemen van de nodige maatregelen in uw organisatie, aarzel dan niet om ons te contacteren via: stijn.crevits@clipeum.be of 0491/16.78.87.

Door:
Stijn Crevits – 16 juli 2020
Senior cyber consultant clipeum / Vandelanotte Security & Privacy