Er is een veiligheidslek ontdekt in Windows DNS. Hackers kunnen deze kwetsbaarheid uitbuiten om rechten als Domain Administrator op servers op te eisen en de volledige it-infrastructuur in handen te krijgen. Patchen is de boodschap.
De impact van het veiligheidslek kan groot zijn, doordat Windows DNS alomtegenwoordig is. De dns-diensten van Microsoft zijn in elk Windows-besturingssysteem aanwezig. Het lek stelt een hacker in staat kwaadaardige verzoeken naar de Windows dns-server te sturen en daarmee de gehele infrastructuur in gevaar te brengen.
Het waren de onderzoekers van Check Point die het lek meldden. Het kritieke lek werd door de leverancier van it-beveiligingsproducten ‘SigRed’ gedoopt en heeft invloed op de versies 2003-2019 van de Windows-server.
Hoogste veiligheidsrisico
Microsoft erkent het probleem en geeft het de hoogst mogelijke score voor veiligheidsrisico’s (CVSS 10.0). Het veiligheidslek is ‘wormable’, wat betekent dat criminele het risico slechts eenmaal hoeven uitbuiten om een kettingreactie te veroorzaken en een aanval van de ene computer naar de andere te verspreiden.
Een enkele geïnfecteerde machine zou dus in een soort ‘superverspreider’ kunnen veranderen, waardoor een aanval zich in slechts enkele minuten in het netwerk van een organisatie verspreidt.
Direct patchen
Check Point dringt er bij alle Windows-gebruikers op aan om de patch van Microsoft toe te passen. De patch voor deze kwetsbaarheid is vanaf 14 juli 2020 beschikbaar in het security center van Microsoft.
Het probleem is urgent. Dns-servers zijn in elke organisatie aanwezig en kunnen hackers bij uitbuiting van kwetsbaarheden de rechten als domeinbeheerder geven. Daarmee is het mogelijk om e-mails en netwerkverkeer te onderscheppen en manipuleren, diensten onbeschikbaar te maken, data van gebruikers te verzamelen, en eigenlijk de volledige it-controle in een bedrijf over te nemen.
Al 17 jaar in de code
Een lek in een dns-server is een heel ernstig probleem, benadrukt Omri Herscovici, hoofd van het Vulnerability Research Team van Check Point. ‘Elk bedrijf, van klein tot groot, dat de infrastructuur van Microsoft gebruikt, loopt een hoog veiligheidsrisico tot dit lek aan een patch is onderworpen. Het hele netwerk van het bedrijf loopt gevaar’, stelt Herscovici.
‘Deze kwetsbaarheid zit al meer dan 17 jaar in de Microsoft-code, en dus is het niet uitgesloten dat iemand anders het lek ook al ontdekt heeft.’
Ook kwetsbaarheid in Office
En nu we toch bezig zijn: naast SigRed dook intussen ook een andere Microsoft-kwetsbaarheid op. Zo geven onderzoekers van Mimecast een waarschuwing voor een andere, nieuwe kwetsbaarheid in Microsoft Office voor Windows en Mac, waarmee aanvallers op afstand code kunnen uitvoeren.
De onderzoekers gaven de kwetsbaarheid de naam ‘3D Office Exploiter’. Zij ontdekten dat ze het gedrag van 3D-grafieken konden manipuleren. Dat wees op een programmeerfout in de 3D-library. Deze fout biedt hackers een methode om applicaties te laten crashen die gebruikmaken van de library, en daarna dus kwaadaardige code uit te voeren.
Microsoft heeft intussen ook voor deze kwetsbaarheid een patch vrijgegeven.
