secopan-logo-whitesecopan-logo-whitesecopan-logo-whitesecopan-logo-white
  • HOME
  • Leistungen
    • Datenschutz
    • ISO/IEC 27001
    • ISO/IEC 27019 – IT-SiKat
    • Systeme zur Angriffserkennung
    • IT-Sicherheitsbeauftragter
    • TISAX
  • Awareness
  • TEAM
  • Karriere
  • Kontakt
  • Blog
  • Newsletter
✕

BSI Warnmeldung – Kritische wurmartige Schwachstelle im Windows DNS-Server

Sachverhalt

In der Implementierung des DNS-Dienstes des Windows Servers besteht die kritische Schwachstelle CVE-2020-1350, auch genannt „SIGRed“. Die Schwachstelle besteht in der Verarbeitung von präparierten DNS-Anfragen und -Antworten und kann dafür ausgenutzt werden, durch einen Heap-basierten Speicherüberlauf Schadcode mit Rechten des Lokalen System-Nutzers auszuführen. Die Schwachstelle kann laut Microsoft wurmartig ausgenutzt werden. Da der DNS-Dienst üblicherweise auf Domain Controllern aktiviert ist, kann eine Kompromittierung zu erheblichen Betriebsunterbrechungen und Übernahme von Domain-Accounts führen [MIC2020a]. Betroffen sind alle Windows Server-Versionen von 2003 bis 2019, welche den DNS-Dienst anbieten. DNS-Server, die nicht von Microsoft bereitgestellt werden, sind nicht betroffen.

Maßnahmen


Anwender/-innen sollten die Synchronisation sowie die Push-Funktion von E-Mail-Accounts abschalten und bis zur Veröffentlichung eines Patches eine andere E-Mail-App verwenden. Es wird dringend empfohlen die betroffenen Windows Server Systeme zeitnah zu aktualisieren. Sollte ein Update kurzfristig nicht möglich sein, besteht die Möglichkeit die Schwachstelle mit einem Workaround zu mitigieren. Hierzu muss ein Registry-Key angelegt werden. Anschließend muss der DNS-Dienst neu gestartet werden. Dies kann mit dem folgendem Befehl durchgeführt werden [CHE2020]: reg add „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters“ /v „TcpReceivePacketSize“ /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS 

Das beschränkt die maximale Länge einer DNS-Anfrage über TCP auf 0xFF00 (255 Bytes weniger als die Voreinstellung) und sollte die Ausnutzung der Schwachstelle unterbinden [MIC2020b].

https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability


Bewertung

Da diese Schwachstelle wurmartig ausgenutzt werden kann, ist diese Schwachstelle als sehr kritisch zu bewerten. Bisher ist zwar noch keine Ausnutzung bekannt, jedoch hat eine IT-Sicherheitsfirma sehr detaillierte Informationen veröffentlicht [CHE2020], wodurch es relativ einfach sein dürfte einen funktionierenden Exploit-Code zu erstellen. Microsoft schätzt die Ausnutzung als „eher wahrscheinlich“ ein [MIC2020a].

BSI Warnmeldung – Kritische wurmartige Schwachstelle im Windows DNS-Server

secopan – Die Experten für Informationssicherheit und Datenschutz

Am Schönblick 14,
71229 Leonberg

Telefon
Tel.: +497152-56958-0

E-mail
info@secopan.de

DATENSCHUTZERKLÄRUNG
IMPRESSUM
© 2023 secopan - Security Competence Partner Network | All Rights Reserved.
    • No translations available for this page