Er is een veiligheidslek ontdekt in Windows DNS. Hackers kunnen deze kwetsbaarheid uitbuiten om rechten als Domain Administrator op servers op te eisen en de volledige it-infrastructuur in handen te krijgen. Patchen is de boodschap.
De impact van het veiligheidslek kan groot zijn, doordat Windows DNS alomtegenwoordig is. De dns-diensten van Microsoft zijn in elk Windows-besturingssysteem aanwezig. Het lek stelt een hacker in staat kwaadaardige verzoeken naar de Windows dns-server te sturen en daarmee de gehele infrastructuur in gevaar te brengen.
Het waren de onderzoekers van Check Point die het lek meldden. Het kritieke lek werd door de leverancier van it-beveiligingsproducten ‘SigRed’ gedoopt en heeft invloed op de versies 2003-2019 van de Windows-server.
Hoogste veiligheidsrisico
Microsoft erkent het probleem en geeft het de hoogst mogelijke score voor veiligheidsrisico’s (CVSS 10.0). Het veiligheidslek is ‘wormable’, wat betekent dat criminele het risico slechts eenmaal hoeven uitbuiten om een kettingreactie te veroorzaken en een aanval van de ene computer naar de andere te verspreiden.
Een enkele geïnfecteerde machine zou dus in een soort ‘superverspreider’ kunnen veranderen, waardoor een aanval zich in slechts enkele minuten in het netwerk van een organisatie verspreidt.
Direct patchen
Check Point dringt er bij alle Windows-gebruikers op aan om de patch van Microsoft toe te passen. De patch voor deze kwetsbaarheid is vanaf 14 juli 2020 beschikbaar in het security center van Microsoft.
Het probleem is urgent. Dns-servers zijn in elke organisatie aanwezig en kunnen hackers bij uitbuiting van kwetsbaarheden de rechten als domeinbeheerder geven. Daarmee is het mogelijk om e-mails en netwerkverkeer te onderscheppen en manipuleren, diensten onbeschikbaar te maken, data van gebruikers te verzamelen, en eigenlijk de volledige it-controle in een bedrijf over te nemen.
Al 17 jaar in de code
Een lek in een dns-server is een heel ernstig probleem, benadrukt Omri Herscovici, hoofd van het Vulnerability Research Team van Check Point. ‘Elk bedrijf, van klein tot groot, dat de infrastructuur van Microsoft gebruikt, loopt een hoog veiligheidsrisico tot dit lek aan een patch is onderworpen. Het hele netwerk van het bedrijf loopt gevaar’, stelt Herscovici.
‘Deze kwetsbaarheid zit al meer dan 17 jaar in de Microsoft-code, en dus is het niet uitgesloten dat iemand anders het lek ook al ontdekt heeft.’
Ook kwetsbaarheid in Office
En nu we toch bezig zijn: naast SigRed dook intussen ook een andere Microsoft-kwetsbaarheid op. Zo geven onderzoekers van Mimecast een waarschuwing voor een andere, nieuwe kwetsbaarheid in Microsoft Office voor Windows en Mac, waarmee aanvallers op afstand code kunnen uitvoeren.
De onderzoekers gaven de kwetsbaarheid de naam ‘3D Office Exploiter’. Zij ontdekten dat ze het gedrag van 3D-grafieken konden manipuleren. Dat wees op een programmeerfout in de 3D-library. Deze fout biedt hackers een methode om applicaties te laten crashen die gebruikmaken van de library, en daarna dus kwaadaardige code uit te voeren.
Microsoft heeft intussen ook voor deze kwetsbaarheid een patch vrijgegeven.
Ik weet er niet zo heel veel van, maar als je een DNS server zou inrichten, waarom zou je dan die van Microsoft gebruiken? Ik zou zeggen: Doe NSD (https://en.wikipedia.org/wiki/NSD), Nederlands kwaliteitsproduct, breed omarmd door de DNS gemeenschap (vier root name servers draaien NSD), ondersteuning voor DNSSEC, en draait in een “jail”.
Een 17 jaar oud lek waarbij iemand code kan draaien onder het lokale systeem account van een domain controller is geen bug maar een ontwerpfout.
@Jos,
Omdat MS de defacto standaard is voor vrijwel alle bedrijven hebben die een aantal MS windows machines staan en dat zijn er nogal wat. Dat er daarnaast ook evt Unix, Linux en bsd-machines draaien doet er dan niet meer toe. MS Active Directory als belangrijkste user authentication tool met daarin DNS geintegreerd.
Ja, er zijn uitzonderingen.
Voor “Nederlands kwaliteitsproduct, breed omarmd door de DNS gemeenschap met ondersteuning DNSSEC en jail” is geen businescase.
@Dino
Je kerninfrastructuur draaien op machines en besturingssystemen die je toch al hebt staan is geen “business case” maar gemakzucht en incompetentie. We kunnen een robbertje matten over hoe IT infrastructuur beslissingen dienen te worden genomen, maar ik stel voor dat we het erover eens zijn dat beveiliging daar een belangrijke rol bij speelt.
“We kunnen een robbertje matten over hoe IT infrastructuur beslissingen dienen te worden genomen”
nee, de business neemt de beslissingen. Techies mogen wat adviseren.
en voor matten is ook geen business case en anders wil ik eens zien onder welk project je mag boeken.
voor gemakzucht en incompetentie is overigens ook een business case. Overal voor eigenlijk.
We praten trouwens over keertje patchen en tis weer fijn.
voor wanneer patchen is ook weer een business case. Zo zie je maar.
@dino
Ik kan niet goed inschatten of je serieus bent of ironisch. Vanzelfsprekend zouden alle beslissingen zakelijke beslissingen moeten zijn, wat alleen maar aangeeft dat de beslissing wordt genomen met zakelijke (geen gevoelsmatige) argumenten en dat de winst wordt geoptimaliseerd. De vraag is alleen: Op korte termijn of op lange termijn?
Achteraf is het makkelijk om de wedstrijd analyseren, zeker als je daarin je eigen kwaliteiten net zo subjectief beoordeeld als van Gaal. WAAROM er 17 jaar geleden gekozen werd voor een Active Directory geïntegreerde DNS is een vraag die beantwoord kan worden als je op basis van de ‘Six Honest Serving Men’ van Kipling de besluitvorming reconstrueert. En in zo’n evaluatie kan ik me de ping-pong middels de RfC’s nog herinneren en de business case aangaande ‘agility’ waar het WANNEER steeds prangender in werd. Oja, ik heb zelf vele malen een Active Directory geïntegreerde DNS geadviseerd en zal dat blijven doen. Dit op basis van een rationele afweging in de ‘feature bingo’ van het HOE (middels een API?) omdat de in-box oplossing van Microsoft allerlei puntoplossingen (zoals NSD) ruimschoots overtroeft. Verder lijkt gemakszucht van ‘agile’ patch processen me nog altijd te verkiezen boven stroperige change processen met een Change Advisory Board. En lang leve de roll-back hierin want dan zie je dat software-defined uiteindelijk nog niet zo gek is.