15.07.2020

DNS-Sicherheitslücke SIGRed CVE-2020-1350

Microsoft hat eine Sicherheitslücke bekanntgeben müssen, die bei CVSS die HÖCHSTE Priorität (10 von 10) erhalten hat. Das passiert nicht ständig und ich denke, es erklärt sich von selbst, dass man da schnell handeln sollte.

Windows-DNS-Server befinden sich in fast jeder IT-Infrastruktur und es betrifft damit eben auch fast alle Firmen. Um die ganze Sache noch verrückter zu machen, sind ALLE supporteten und unsupporteten Versionen seit „Windows Server 2003“ betroffen!

Was kann passieren? Wie groß ist die Gefahr tatsächlich?

Ein Angreifer könnte die Lücke ausnutzen, um Code auszuführen. Auf diese Weise könnte sich jemand Domänenadministratorrechte verschaffen und Schadcode „wurmartig“ im LAN verteilen/verbreiten. Das wäre ziemlich ********

Voraussetzung, dass ein Angriff überhaupt stattfinden kann, ist Zugang zum Netz und das Senden von manipulierten DNS-Anfragen an den DNS-Server. Das kann man leider selten ausschließen, da oft hunderte verschiedener Geräte im Netz sind und eine 100%ige physische Abschottung des Netzes schwer zu erreichen ist.

Da diese Lücke seit 17 Jahren existiert, allerdings erst jetzt ein Exploit bekannt wurde, sind SEHR viele Server betroffen. Das gibt Angreifern lohnende Ziele, da die Chancen nicht schlecht stehen, ein Opfer, das nicht rechtzeitig reagiert hat, zu erwischen.

Ahhrgh, was kann ich tun?! PANIK!

But worry not! Es gibt für jedes Betriebssystem einen Patch. Einfach aktuelle Windows-Patches installieren und alles wird gut. Aber kontrolliert am besten mit „Get-Hotfix“ (oder über die GUI „installierte Programme und Updates“), ob das KB-Update danach auch wirklich installiert ist.
Welches Update das ist, ist abhängig davon, welches Serverbetriebssystem ihr habt. Eine Liste mit den wichtigsten Serversystemen gebe ich euch hier:

  • Windows Server 2012 R2 – KB 4565541 oder KB4565540 (eines davon reicht; welches per Windows Update kommt, ist abhängig davon, ob ihr „security only“ installiert oder nicht)
  • Windows Server 2016 – KB 4565511
  • Windows Server 2019 – KB 455899

Solltet ihr gerade kein Wartungsfenster bekommen und lieber erstmal keinen Patch installieren wollen, gibt es einen Workaround über den Registry Key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
  DWORD = TcpReceivePacketSize
  Value = 0xFF00

Ich will mehr wissen!

Wir haben das natürlich nicht selbst herausgefunden, sondern profitieren von Jungs und Mädels (in dem Fall: Sagi Tzadik), die glücklicherweise der IT-Welt etwas Gutes tun wollen und vermutlich auch ein bisschen Spaß daran haben, die Nadel im Heuhaufen zu finden und dann mit einem „Ällabätsch“ auf Microsoft (und andere Konzerne) zu zeigen. Daher empfehle ich für die Details zu diesem Exploit (SIGRed; CVE-2020-1350) folgenden detaillierten Blogartikel: https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/

Wenn ihr noch Fragen dazu habt: Das wohl weltweit coolste IT-Dienstleister-Team beantwortet so gut wir können alle Fragen und gibt Hilfestellung, falls ihr Unterstützung brauchen solltet. Ihr wisst wie ... Falls nicht: support@netlogix.de oder ein beherzter Griff zum Telefonhörer :-)

Sebastian Reitter
Senior Consultant

Unsere Blogs