Er zit een zeer gevaarlijke bug genaamd Sigred in de dns server van alle Microsoft server-versies. De ouderwetse buffer overflow is ook van buitenaf te misbruiken. Dus: patch zo snel mogelijk of gebruik op zijn minst de workaround.
We weten dit door het researchteam van Check Point, die de bug zoals het hoort al bijna een maand geleden aan Microsoft meldde. Nice work! Zonder twijfel wordt dit de basis van de zoveelste plaag van 2020, een worm die het internet zal afgaan en allerlei ongein uithaalt. En als we niet uitkijken, wordt het een digitale variant van Covid19.
Wat is eigenlijk het probleem en wat maakt het zo gevaarlijk? Kris Buytaert zou zeggen ‘Everything is a freaking dns problem’. Dns is echt het hart van quasi alles wat we op een tcp/ip-netwerk doen.
Active directory
In onze Microsoft-monocultuur die veel it-parken vandaag zijn, gebruik je overal de active directory (ad) als interne directory. Als je ad degelijk wil draaien, gebruik je best die op de interne ad-server om miserie te voorkomen. Resultaat: elke gebruiker binnen je netwerk kan deze exploit triggeren. Ik denk zelfs dat het zelfs ook van buitenaf kan. Bijvoorbeeld door een reverse lookup te laten uitvoeren, door een server met een service die van buitenaf bereikbaar is, maar zijn queries naar de interne dns stuurt of door bijvoorbeeld een spf-record door de interne exchange te laten opzoeken.
Het leert ons ook dat Microsoft, ondanks twintig jaar beloftes en ook veel inspanningen om structureel software-by-design en secure development te gaan doen, nog altijd massa’s securitylijken in de kast heeft.
Structureel zorgen grote dns-players als Google en Cloudfare er nu voor dat dit soort te grote, valse dns-pakketten bij de bron gefilterd worden. De meeste bedrijven sturen hun dns-request immers door naar 8.8.8.8 of 1.1.1.1. Dus daar kan je mijns inziens al een paar dingen oplossen.
Dus voor iedereen die ergens een Microsoft ad of dns-server staan heeft: patch zo snel mogelijk alles. Als dit niet direct kan, kan je als workaround in de registry de grootte van de dns-pakketten beperken.
Jan Guldentops, it, network & security consultant en researcher
Meer info
- https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/
- https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
