Компания Check Point® Software Technologies Ltd. выявила уязвимость в DNS-серверах Windows. Благодаря данной уязвимости хакеры могут создавать вредоносные DNS-запросы к DNS-серверу Windows и осуществлять выполнение произвольного кода, что в свою очередь приводит к нарушению всей ИТ- инфраструктуры. Критическая уязвимость, получившая название Signed, затрагивает версии Windows с 2003 по 2019 год.
DNS — это часть глобальной инфраструктуры сети интернет. Данная система переводит привычные пользователям имена веб-сайтов в строки номеров, необходимые устройствам для поиска сайта или отправки электронного письма. Воспользовавшись уязвимостью DNS-сервера, хакер получает права администратора домена и может манипулировать электронной почтой пользователей, сетевым трафиком, ограничивать доступ к службам, собирать учетные данные пользователей и прочее.
Специалисты Сheck Point Research сообщили Microsoft о найденной уязвимости 19 мая 2020 года. Компания признала недостаток безопасности и оперативно разработала патч (CVE-2020-1350). Также Microsoft присвоила уязвимости максимальный уровень риска (CVSS:10.0). Опасность уязвимости Signed заключается в том, что один эксплойт может запустить цепную реакцию. В результате одно скомпрометированное устройство может стать распространителем вредоносного ПО по всей сети организации в течение нескольких минут после первого эксплойта.
Исправления Microsoft для данной уязвимости доступны с 14 июля 2020 года. Check Point рекомендуют пользователям Windows оперативно исправить уязвимость DNS-серверов. Специалисты Check Point считают, что вероятность использования уязвимости Signed высока, поскольку хакерам не составит большого труда найти необходимые способы. Сейчас 99% компаний по всему миру находятся в опасности, поскольку все так или иначе используют сервисы Microsoft Active Directory, включая необходимые DNS-серверы. В случае, если хакерам удастся осуществить атаку прежде, чем организации установят патчи, то масштаб ущерба может сравниться с эпидемией WannaCry 2017 года. Тогда от деятельности киберпреступников пострадали 300 тыс. компьютеров в 150 странах, а общий ущерб превысил 1 млрд долларов США.
«Нарушение работы DNS-сервера — это очень серьезная проблема. Использование уязвимости сервера позволяет хакерам получить доступ ко всем конфиденциальным данным компании. Уязвимостей подобного типа не много, однако, их наличие подвергает любую компанию, использующую ОС Windows Server, серьезному риску компрометации всей корпоративной сети. Уязвимость Signed существует в коде Microsoft уже более 17 лет. Если мы ее нашли, то можно предположить, что кто-то другой также знает о ее существовании», — отметил Омри Херсковичи (Omri Herscovici), руководитель исследовательской группы Check Point.
Меры безопасности
1. Используйте патч Microsoft для исправления уязвимости Signed.
2. Используйте стороннего поставщика для обеспечения безопасности корпоративной ИТ инфраструктуры.
3. Используйте другие способы для блокировки атаки:
в поле “CMD” введите:
reg add
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS
Источник: пресс-релиз Check Point