Sachverhalt
In der Implementierung des DNS-Dienstes des Windows Servers besteht die kritische Schwachstelle CVE-2020-1350, auch genannt „SIGRed“. Die Schwachstelle besteht in der Verarbeitung von präparierten DNS-Anfragen und -Antworten und kann dafür ausgenutzt werden, durch einen Heap-basierten Speicherüberlauf Schadcode mit Rechten des Lokalen System-Nutzers auszuführen. Die Schwachstelle kann laut Microsoft wurmartig ausgenutzt werden. Da der DNS-Dienst üblicherweise auf Domain Controllern aktiviert ist, kann eine Kompromittierung zu erheblichen Betriebsunterbrechungen und Übernahme von Domain-Accounts führen [MIC2020a]. Betroffen sind alle Windows Server-Versionen von 2003 bis 2019, welche den DNS-Dienst anbieten. DNS-Server, die nicht von Microsoft bereitgestellt werden, sind nicht betroffen.
Maßnahmen
Anwender/-innen sollten die Synchronisation sowie die Push-Funktion von E-Mail-Accounts abschalten und bis zur Veröffentlichung eines Patches eine andere E-Mail-App verwenden. Es wird dringend empfohlen die betroffenen Windows Server Systeme zeitnah zu aktualisieren. Sollte ein Update kurzfristig nicht möglich sein, besteht die Möglichkeit die Schwachstelle mit einem Workaround zu mitigieren. Hierzu muss ein Registry-Key angelegt werden. Anschließend muss der DNS-Dienst neu gestartet werden. Dies kann mit dem folgendem Befehl durchgeführt werden [CHE2020]: reg add „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters“ /v „TcpReceivePacketSize“ /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS
Das beschränkt die maximale Länge einer DNS-Anfrage über TCP auf 0xFF00 (255 Bytes weniger als die Voreinstellung) und sollte die Ausnutzung der Schwachstelle unterbinden [MIC2020b].
Bewertung
Da diese Schwachstelle wurmartig ausgenutzt werden kann, ist diese Schwachstelle als sehr kritisch zu bewerten. Bisher ist zwar noch keine Ausnutzung bekannt, jedoch hat eine IT-Sicherheitsfirma sehr detaillierte Informationen veröffentlicht [CHE2020], wodurch es relativ einfach sein dürfte einen funktionierenden Exploit-Code zu erstellen. Microsoft schätzt die Ausnutzung als „eher wahrscheinlich“ ein [MIC2020a].