Microsoft dringt aan op patchen van ernstige Windows-serverbug

Microsoft adviseert klanten met aandrang om hun Windows-servers te patchen voor een ernstige kwetsbaarheid die een aanvaller toelaat om de controle over het hele netwerk over te nemen, zonder dat daarvoor gebruikersinteractie noodzakelijk is.

De kwetsbaarheid (CVE-2020-1350) werd in mei ontdekt door onderzoekers van beveiligingsspecialist Check Point, die het de naam SigRed gaven. Het lek werd onmiddellijk privé gemeld aan Microsoft, zodat die een oplossing kon voorzien.

De bug situeert zich in Windows DNS, een component van Windows Server die automatisch reageert op verzoeken om een domein te vertalen naar het IP-adres dat de computer nodig heeft om het domein op het internet te lokaliseren. Door een kwaadaardige query te versturen, kan een aanvaller vanop afstand code uitvoeren op het kwetsbare systeem om de controle ervan over te nemen.

Worm

Het lek is wormable, wat betekent dat de aanvaller zich vervolgens toegang kan verschaffen tot andere systemen binnen het netwerk, zonder dat daarvoor enige gebruikersinteractie vereist is. Denk aan een aanval zoals WannaCry, die in 2016 op één weekend talloze bedrijfsnetwerken wereldwijd lam legde en miljarden dollars aan schade veroorzaakte.

SigRed treft alle versies vanaf Windows Server 2003 tot 2019. Microsoft bracht deze maand een patch uit voor de bug als onderdeel van zijn Patch Tuesday en raadt klanten met aandrang aan om de update zo snel mogelijk te installeren. Zowel Microsoft als Check Point zijn het erover eens dat misbruik van het lek ruimschoots binnen de capaciteiten van ervaren hackers ligt.

Grote impact

“Succesvolle uitbuiting van dit beveiligingslek heeft grote gevolgen, aangezien je vaak niet-gepatchte Windows Domain-omgevingen kan vinden, vooral Domain Controllers. Bovendien hebben sommige internetproviders mogelijk zelfs hun openbare DNS-servers ingesteld als WinDNS”, schrijft Sagi Tzadik van Check Point in een technische analyse van SigRed.

Op dit moment hebben beide bedrijven geen weet van misbruik in het wild, maar daar kan snel verandering in komen nu de kwetsbaarheid publiek is gemaakt. “Als het snel toepassen van de update niet praktisch is, is er een register-gebaseerde oplossing beschikbaar, waarvoor de server niet opnieuw moet worden opgestart”, adviseert Mechele Gruhn, Principal Security PM Manger bij het Microsoft Security Response Center. Details over die workaround vind je hier.