{"id":233432,"date":"2020-07-15T10:05:59","date_gmt":"2020-07-15T08:05:59","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=233432"},"modified":"2024-08-12T13:44:08","modified_gmt":"2024-08-12T11:44:08","slug":"kritisches-update-fr-sigred-bug-im-windows-dns-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/07\/15\/kritisches-update-fr-sigred-bug-im-windows-dns-server\/","title":{"rendered":"Kritisches Update für SigRed Bug im Windows DNS Server"},"content":{"rendered":"

[English<\/a>]Im Code des Windows DNS Server existiert seit 17 Jahren ein Bug, der zu einer\u00a0 kritischen Schwachstelle f\u00fchrt. Die per Wurm ausnutzbare Schwachstelle k\u00f6nnte ausgenutzt werden, um Domain-Administrator-Privilegien zu erlangen und die gesamte dahinter liegende Unternehmensinfrastruktur zu gef\u00e4hrden.<\/p>\n

<\/p>\n

\"\"Ich habe die Information bereits gestern Abend von Check Point, aber unter Embargo, erhalten, komme daher erst jetzt dazu, die Details zu publizieren. Sicherheitsforscher von Check Point Software Technologies sind auf eine Schwachstelle gesto\u00dfen, die seit 17 Jahre unentdeckt geblieben war. Die SIGRed genannte Schwachstelle ist so gef\u00e4hrlich, dass Microsoft der Behebung die h\u00f6chstm\u00f6gliche Priorit\u00e4t einr\u00e4umte. Alle Windows-Server-Betriebssysteme seit 2003 sind betroffen. Ein Patch steht bereit. Au\u00dferdem existiert ein tempor\u00e4rer Workaround.<\/p>\n

Kritische Schwachstelle SIGRed (CVE-2020-1350)<\/h2>\n

In ihrem Blog-Beitrag<\/a> beschreiben die Sicherheitsforscher von Check Point Software Technologies die Schwachstelle SIGRed (CVE-2020-1350<\/a>) bei der Remotecodeausf\u00fchrung in Windows-Dom\u00e4nennamenssystem-Servern. Die Schwachstelle basiert auf dem Bug, dass Anfragen nicht ordnungsgem\u00e4\u00df verarbeitet werden. Das Ganze ist auch als \"Windows DNS Server Remote Code Execution Vulnerability\" bekannt.<\/p>\n

SIGRed (CVE-2020-1350) ist eine wurmf\u00e4hige, kritische Schwachstelle, der ein CVSS-Basiswert von 10,0 zugewiesen wurde. Die Schwachstelle befindet sich im Windows DNS-Server, und betrifft die Windows Server-Versionen 2003 bis 2019. Durch die Schwachstelle kann eine b\u00f6swillige DNS-Antwort ausgel\u00f6st werden. Da der betreffende Dienst mit erh\u00f6hten Privilegien (SYSTEM) ausgef\u00fchrt wird, erh\u00e4lt ein Angreifer bei erfolgreicher Ausnutzung die Rechte eines Dom\u00e4nenadministrators. Dadurch wird die gesamte Unternehmensinfrastruktur effektiv gef\u00e4hrdet.<\/p>\n

(Quelle: YouTube<\/a>)<\/p>\n

Durch das Senden einer DNS-Antwort, die einen gro\u00dfen (mehr als 64 KB) SIG-Eintrag enth\u00e4lt, k\u00f6nnen Angreifer einen kontrollierten Heap-basierten Puffer\u00fcberlauf von etwa 64 KB verursachen und so Schadcode zur Ausf\u00fchrung bringen. Check Point Software Technologies demonstriert das Ganze in obigem YouTube-Video, und legt in ihrem Blog-Beitrag<\/a> die Details offen.<\/p>\n

Das Domain Name System (DNS) ist quasi das 'Telefonbuch des Internet' und erm\u00f6glicht Clients sich mit Servern zu verbinden, um auf Ressourcen zuzugreifen. Es ist ein Modell, das Dom\u00e4nennamen auf IP-Adressen abbildet, um eine Verbindung zum richtigen Server zu erm\u00f6glichen. Wird diese Zuordnung manipuliert, ger\u00e4t das ganze Konzept in eine sicherheitstechnische Schieflage.<\/p><\/blockquote>\n

Microsoft stellt Patch und Workaround bereit<\/h2>\n

Microsoft hat diese Kurzmitteilung<\/a> zur Schwachstelle ver\u00f6ffentlicht und f\u00fchrt Details im Beitrag zu CVE-2020-1350<\/a> aus. Dort werden die kritischen Updates f\u00fcr Windows Server 2008 SP2 bis hin zu Windows Server Version 2004 (Server Core-Installation) aufgelistet. Der Bug wird mit den regul\u00e4ren Updates f\u00fcr Windows zum Patchday 14. Juli 2020 beseitigt.<\/p>\n

Falls ein Patch nicht sofort installiert werden kann, gibt Microsoft im Supportbeitrag KB4569509<\/a> noch weitere Hinweise, wie die Schwachstelle durch einen Workaround zumindest abgemildert werden kann. Dazu ist in der Registry der Schl\u00fcssel:<\/p>\n

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\DNS\\Parameters<\/p>\n

mit dem 32-Bit-DWORD Wert TcpReceivePacketSize = 0xFF00<\/em> einzutragen. Hier noch einige Werte:<\/p>\n