Datum objave: 16. 7. 2020
CVE oznaka: CVE-2020-1350
Povzetek
Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account. Napadalci lahko ranljivost izkoristijo tudi posredno prek phishing povezave, poslane uporabniku na omrežju in tako zlorabijo tudi DNS strežnike, ki niso neposredno dostopni.
Opis
Microsoft je v sklopu julijskih popravkov za Windows operacijske sisteme objavil tudi popravek za DNS strežnik, ki odpravlja ranljivost, ki napadalcu omogoča zagon poljubne kode (RCE, Remote Code Execution) s pravicami uporabnika Local System Account. Ranljivost ima najvišjo oznako ranljivosti po CVSS lestvici (10). Podrobnosti so na voljo v Microsoftovemu obvestilu (glej povezave).
V primeru, ko Windows DNS strežnik ni neposredno dostopen zunanjim uporabnikom, lahko napadalec z ustrezno oblikovanim sporočilom lokalnemu uporabniku po kliku na priloženo povezavo sproži DNS poizvedbo, ki ranljivost izkorišča. Podobno lahko napadalec doseže z okužbo sistema uporabnika na lokalnem omrežju. Ker je pogosto notranji DNS strežnik tudi Windows domenski kontroler in gosti Active Directory imenik, napadalcu zloraba sistema lahko omogoči hitro širjenje po omrežju organizacije na druge sisteme, krajo informacij ali izvedbo naprednega napada z izsiljevalskim virusom.
V času pisanja sicer še ni znano, da bi se ranljivost aktivno izkoriščala, pričakuje pa se, da se to lahko zgodi v roku nekaj dni.
Rešitev
Vsem skrbnikom Windows DNS strežnikov priporočamo takojšnjo namestitev popravka. Še pred namestitvijo tega se lahko v vmesnem času uporabi obvod z nastavitvijo v registru operacijskega sistema. Navodila so na voljo v Microsoft obvestilu na spodnji povezavi.
Povezave
Microsoft: Windows DNS Server Remote Code Execution VulnerabilitySI-CERT / 2019-05 Napredni napadi z izsiljevalskimi virusi