SigRed CVE-2020-1350 NEWS: Cara Microsoft l’ippica ti è cara !

CVE-2020-1350 Come sfruttare il protocollo DNS.

La vulnerabilità che Check Point ha scoperto espone tutte le organizzazioni che utilizzano le versioni di Windows Server dal 2003 al 2019 esattamente agli stessi rischi. Se sfruttata, darebbe ad un hacker i diritti di Domain Administrator sul server e comprometterebbe l’intera infrastruttura aziendale.

 

Microsoft , un mondo da ridere -SigRed
Microsoft , un mondo da ridere. – SigRed

Un “buco” contagioso SigRed

Il problema sta nel modo in cui il server DNS di Windows analizza una query DNS in entrata e nel modo in cui analizza una risposta a una query DNS inoltrata. Se innescato da una query DNS dannosa, innesca un buffer overflow basato su un buffer heap, consentendo all’hacker di prendere il controllo del server.

Per aumentare la gravità del problema, Microsoft lo ha descritto come “wormable”, il che significa che un singolo exploit può avviare una reazione a catena che permette agli attacchi di diffondersi da una macchina vulnerabile all’altra senza richiedere alcuna interazione umana. Poiché la sicurezza DNS non è qualcosa che molte organizzazioni monitorano o hanno stretti controlli in giro, questo significa che una singola macchina compromessa potrebbe essere un “super-diffusore”, consentendo all’attacco di diffondersi in tutta la rete di un’organizzazione entro pochi minuti dal primo exploit.

Microsoft consiglia urgentemente ai clienti dei server Windows di eliminare la vulnerabilità che consente agli aggressori di prendere il controllo di intere reti senza interazione dell’utente e, da lì, di diffondersi rapidamente da un computer all’altro.

La vulnerabilità, soprannominata SigRed dai ricercatori che l’hanno scoperta. Risiede nel DNS di Windows, un componente che risponde automaticamente alle richieste di traduzione di un dominio nei computer di indirizzo IP che devono localizzarlo su Internet. Con l’invio di query formate in modo maligno, gli aggressori possono eseguire il codice che ottiene i diritti di amministratore del dominio e, da lì, prendere il controllo di un’intera rete. La vulnerabilità, che non si applica alle versioni client di Windows, è presente nelle versioni server dal 2003 al 2019. SigRed è formalmente rintracciato come CVE-2020-1350.



SigRed

Come abbiamo visto, l’ha scoperta Check Point ed è stata comunicata subito a Microsoft. Check Point definisce questo bug critico, beh forse qualcosa in più!  Check Point l’ha posta fuori scala!

Immaginate cosa potrebbe accadere se qualcuno fosse in grado di intercettare e leggere ogni pezzo della vostra posta a vostra insaputa, prima di inoltrarla a voi: la vostra nuova carta bancaria, la vostra patente o il passaporto sostitutivo, le lettere del vostro medico, i moduli di richiesta e altro ancora. Non è difficile capire cosa quella persona potrebbe imparare su di te, e quali cose dannose potrebbe fare copiando o manomettendo la tua posta.

Ora immaginate che un hacker possa fare lo stesso sulla rete della vostra organizzazione. Agisca intercettando e manipolando le email degli utenti e il traffico di rete, rendendo i servizi non disponibili, raccogliendo le credenziali degli utenti e altro ancora. In effetti, sarebbe in grado di prendere il controllo completo della vostra IT.

I ricercatori di Check Point hanno recentemente scoperto una vulnerabilità critica che permetterebbe a un aggressore di fare esattamente questo in Windows DNS Server. E’ un componente essenziale di qualsiasi ambiente di rete Windows. L’abbiamo segnalata a Microsoft, che l’ha riconosciuta come una vulnerabilità critica (punteggio CVSS 10.0 – che indica la massima severità possibile) e ha emesso una patch urgente per essa. Raccomandiamo vivamente agli utenti di applicare la patch alle versioni di Windows DNS Server interessate dal 2003 al 2019 per evitare lo sfruttamento di questa vulnerabilità.

E continua

Per sottolineare quanto possa essere pericoloso un problema di sicurezza la manomissione del DNS, nel 2019 il Dipartimento per la sicurezza interna degli Stati Uniti ha emanato una rara direttiva di emergenza che ordina a tutte le agenzie civili federali statunitensi di proteggere le credenziali per i loro record di dominio Internet, in risposta a una campagna internazionale di dirottamento del sistema dei nomi di dominio (DNS). Gli autori della “campagna” sono stati in grado di rubare e-mail e altre credenziali di accesso da una serie di enti governativi e privati del settore privato in Medio Oriente dirottando i server DNS per questi obiettivi, in modo che tutto il traffico e-mail e VPN fosse reindirizzato verso indirizzi Internet controllati dagli aggressori.

Mica il “problema” era sfuggito di mano ai Servizi già nel 2019 ? NOOOOOOO! aahahahahaah