Firma Microsoft poinformowała o luce CVE-2020-1350 w serwerach DNS z systemem Windows. W klasie CVSS otrzymała ona ocenę 10, co oznacza, że ma status krytyczny. Na szczęście cyberprzestępcy mogą ją wykorzystać tylko wtedy, gdy system działa w trybie serwera DNS, a więc liczba potencjalnie podatnych komputerów jest stosunkowo niewielka. Co więcej, firma udostępniła już łaty i podała kroki umożliwiające obejście tego problemu.
Co to za luka i dlaczego jest niebezpieczna?
Luka CVE-2020-1350 umożliwia osobie obcej wymuszenie na serwerach DNS z systemem Windows Server zdalne wykonanie szkodliwego kodu. Luka należy do klasy RCE. Aby wykorzystać CVE-2020-1350, wystarczy wysłać do serwera DNS specjalnie wygenerowane polecenie.
Wtedy kod firmy trzeciej jest wykonywany w kontekście konta LocalSystem. Ma ono szerokie uprawnienia na komputerze lokalnym, a w sieci działa jak komputer. Ponadto podsystem bezpieczeństwa nie rozpoznaje konta LocalSystem. Według firmy Microsoft największym zagrożeniem ze strony tej luki jest fakt, że może ona zostać użyta do rozprzestrzeniania zagrożenia w sieci lokalnej; a w związku z tym została zaklasyfikowana jako wormable.
Kto jest narażony na lukę CVE-2020-1350?
Podatne są wszystkie wersje Windows Server, ale tylko jeśli działają w trybie serwera DNS. Jeśli w Twojej firmie nie ma serwera DNS lub używany jest serwer DNS z innym systemem operacyjnym, nie musisz się przejmować.
Luka została wykryta przez badacza z firmy Check Point Research i na tę chwilę nie ma jeszcze informacji, w jaki sposób można ją wykorzystać. Co więcej, nie istnieje żaden dowód na wykorzystanie luki CVE-2020-1350 przez cyberprzestępców.
Jednak bardzo prawdopodobne jest, że gdy firma Microsoft zaleciła zaktualizowanie systemu, cyberprzestępcy wzięli pod lupę podatne serwery DNS i udostępnione łaty, aby znaleźć sposób na wykorzystanie tej luki. Dlatego nie warto zwlekać z instalacją aktualizacji.
Co należy zrobić?
Jak już wspomniałem, najlepszym wyjściem jest zainstalowanie łaty od firmy Microsoft, która zmienia sposób obsługi żądań od serwerów DNS. Łata jest dostępna dla systemów Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server w wersji 1903, Windows Server w wersji 1909 oraz Windows Server w wersji 2004. Aby ją pobrać, należy wejść na stronę firmy Microsoft poświęconą tej luce.
Jednak niektóre firmy mają wewnętrzne zasady i ustalony tok działania, jeśli chodzi o aktualizację oprogramowania, a administratorzy systemów mogą nie być w stanie zainstalować aktualizacji natychmiast. Aby serwery DNS nie zostały w takich przypadkach zhakowane, firma Microsoft podpowiada również inne kroki zabezpieczające. Polegają one na wprowadzeniu w rejestrze systemu następujących zmian:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00
Po zapisaniu zmian serwer należy uruchomić ponownie. Warto jednak pamiętać, że takie rozwiązanie może potencjalnie prowadzić do niepoprawnego działania go w przypadku, gdy otrzyma on pakiet TCP większy niż 65 280 bajtów, zatem firma Microsoft zaleca usunięcie klucza TcpReceivePacketSize oraz jego wartości i przywrócenie wpisu rejestru do jego oryginalnego stanu, gdy łata zostanie ostatecznie zainstalowana.
Z naszej strony możemy przypomnieć, że serwer DNS działający w infrastrukturze jest w rzeczywistości komputerem, podobnie jak każdy inny punkt końcowy. One również miewają luki w zabezpieczeniach, które mogą próbować wykorzystać cyberprzestępcy. Z tego względu wymagają regularnego rozwiązania zabezpieczającego, np. Kaspersky Endpoint Security for Business.