C’è una vulnerabilità risolta da Microsoft durante il “patch day” di luglio 2020 che spicca su tutte, quella contraddistinta dall’identificativo CVE-2020-1350.
Si tratta di un problema di sicurezza che interessa tutti i sistemi Windows Server, dalle versioni più vecchie a quelle più nuove, che può consentire a un aggressore remoto di eseguire codice arbitrario sui sistemi presi di mira, a patto operino come server DNS.
Al bug di sicurezza è stato assegnato il massimo livello di pericolosità complessivo (punti 10 su scala CVSS 10) e gli amministratori di rete che usano il server DNS di Microsoft su qualunque sistema Windows sono invitati a installare immediatamente la patch ufficiale per scongiurare qualunque rischio di attacco.
Anche perché la falla scoperta dai ricercatori di Check Point e appena risolta da Microsoft è wormable: può essere cioè utilizzata per infettare automaticamente altri server, senza alcuna interazione umana.
Microsoft conferma che, fortunatamente, il problema di sicurezza a livello di DNS non è al momento utilizzato per condurre attacchi e non sono noti pubblicamente codici exploit per far leva sul problema. È però scontato che i malware writer si siano già messi al lavoro per studiare la patch Microsoft al fine di sviluppare il codice utile per aggredire i server DNS usati in tutto il mondo (solo ed esclusivamente quelli basati sulle funzionalità DNS integrate in Windows Server).
Battezzata SIGRed, la vulnerabilità nel DNS server di Windows può essere sfruttata seguendo una serie di passaggi:
– L’aggressore invia una richiesta DNS (la vittima visita una pagina web o l’aggressore invia un’email alla vittima). Nel caso di un server DNS mal configurato (“open recursive“), l’aggressore può semplicemente inviare una query in modo diretto.
– Il server DNS vulnerabile interroga quello sotto il controllo dell’aggressore tramite protocollo UDP.
– L’aggressore spedisce una risposta troncata indicando che il messaggio ha dimensioni troppo grandi per essere gestito.
– La vittima invia nuovamente la richiesta via TCP.
– L’aggressore risponderà con l’exploit avendo così la possibilità di prendere possesso del sistema DNS vulnerabile.
Se non si fosse nelle condizioni di riavviare la macchina Windows Server, Microsoft consiglia di applicare subito un semplice intervento sul registro di sistema che permette di proteggere il server DNS senza dover neppure operare un reboot.
0patch ha sviluppato e distribuito una serie di aggiornamenti non ufficiali utili a risolvere la falla sui sistemi operativi non più supportati da parte di Microsoft, come Windows Server 2008 R2. Queste patch sono utilizzabili anche sulle installazioni di Windows ove non si fosse ancora nelle condizioni di applicare gli aggiornamenti ufficiali (maggiori informazioni a questo indirizzo).